هجوم الكتروني "متقدم" يستهدف السعودية

أعلن مركز الأمن الإلكتروني السعودي، رصده هجوماً إلكترونياً جديداً متقدماً (APT) يستهدف المملكة. وتعتمد أنشطته التي تمت ملاحظتها على استخدام برمجية التحكم، والتي تقوم بالتواصل مع خادم التحكم والسيطرة باستخدام بروتوكول HTTP . 

وأشار المركز إلى قيامه بمشاركة الجهات الحيوية مؤشرات الاختراق والتوصيات اللازمة لاتخاذ الإجراءات الاستباقية المناسبة لمنع الهجوم.

تفاصيل الهجوم 

يقوم المهاجمون بسرقة البيانات او ارسال أوامر لجهاز الضحية. وحسب مركز الامن المعلوماتي، قد لوحظت الطرق التالية في مرحلة الارسال والثبيت:

حقن مستندات Microsoft Office

كانت معظم العينات التي تمت ملاحظتها ملفات Microsoft Office و التي تحتوي على ماكرو أو رابط تم إرساله من خلال الرسائل التصيدية. بالإضافة إلى ذلك، يتم ضغط المستندات الخبيثة في بعض الأحيان في ملف RAR المحمي بكلمة مرور لتجنب آليات حماية البريد. يتم تضمين كلمة المرور عادة في البريد الإلكتروني.

الوصول إلى المواقع الخبيثة

كما بين المركز انه تم زرع بعض البرامج الخبيثة، وقد لوحظ الإختراق من خلال موقع ضار على شبكة الانترنت، حيث تتم إعادة توجيه المستخدم إلى موقع ويب آخر ويطلب تحميل الملف الخبيث. 

طرق الإكتشاف

واوصى مركز الأمن الإلكتروني بإتباع الطرق التالية للكشف عن التحركات المشبوهة داخل الشبكة والتي قد تكون لها صلة بالهجوم

1. مراجعه السجلات للبرامج التالية Proxy, SIEM and Firewall والبحث عن أي اتصال بمعرفات تنتهي بـ

*.php?c=(Base64 data)

*.aspx?c=(Base64 data)

2. إتصال عبر بروتوكول الـ HTTP إلى عناوين معرفات صحيحة تكون بدون أسماء نطاقات

3. عدد كبير من الاتصال عبر تروتوكول HTTP إلى معرف أو إسم نطاق وحيد.

4. أي إتصال عبر بروتوكول HTTP إلى المعرفات التالية 148.251.204.131 & 144.76.109.88

5. البحث في بوابة البريد الإلكتروني لرسائل إلكترونية مرفق بها ملف محميّ بكلمة مرور أو مرفق Office بداخله وحدات الماكرو التي تم حظرها أو تنبيهها.

6. زيادة استخدام "بورشيل" "PowerShell" على نقاط الأجهزه والخوادم.

توصيات: 

• تحديث PowerShell للنسخة الخامسة وحذف النسخة القدية.

• تمكين تسجيل الوحدة النمطية، تسجيل البرنامج النصي وكتاب تسجيل الدخول في PowerShell الإصدار 5.

• التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضاً يحتاج إلى تنفيذها على PowerShell. والتأكد من السماح فقط للبرامج التي تحتاج لها الجهة.

• منع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل C:Users • استخدام (Email Filtering) لمسح ومنع أي بريد إلكتروني بداخله مستند ماكرو وغيرها من الملفات الخبيثة مثل Windows Host Scripting and HTA files

• تنفيذ حل مراقبة سلامة الملفات (FIM) على www root في جميع تطبيقات الإنترنت، مثل تطبيقات الويب والبريد الإلكتروني و VPN portals. ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.