مركز الأمن الإلكتروني يعلن رصد هجوم متقدّم يستهدف السعودية

[هيرون]

قال مركز الأمن الإلكتروني اليوم: إنه تم رصد هجوم إلكتروني جديد متقدم (APT) يستهدف المملكة العربية السعودية .

وأوضح المركز: تعتمد أنشطة الهجوم التي تمت ملاحظتها على استخدام برمجية التحكم "PowerShell"، والتي تقوم بالتواصل مع خادم التحكم والسيطرة (C2) باستخدام بروتوكول HTTP.

وأضاف: لقد قام المركز بمشاركة الجهات الحيوية مؤشرات الاختراق والتوصيات اللازمة؛ لاتخاذ الإجراءات الاستباقية المناسبة لمنع الهجوم.
https://sabq.org/cqG9H3

 

[الدبلوماســي]

هل هذ المركز اللي انشي قبل فتره قريبه..

 

[القائد الخفي]

مركزالأمن الإلكتروني‏حساب موثّق @NCSC_SA ساعتانقبل ساعتين
١-٢ رصد مركز الأمن الإلكتروني هجوماً إلكترونياً جديداً متقدماً (APT) يستهدف المملكة العربية السعودية. تعتمد أنشطة الهجوم التي تم ملاحظتها على استخدام برمجية التحكم "PowerShell"، والتي تقوم بالتواصل مع خادم التحكم والسيطرة (C2) باستخدام بروتوكول HTTP.


مركزالأمن الإلكتروني‏حساب موثّق @NCSC_SA ساعتانقبل ساعتين
ردًا على @NCSC_SA


٢-٢ ولقد قام المركز بمشاركة الجهات الحيوية مؤشرات الاختراق والتوصيات اللازمة لاتخاذ الإجراءات الاستباقية المناسبة لمنع الهجوم https://www.moi.gov.sa/wps/portal/ncsc/home/Alerts/!ut/p/z1/04_Sj9CPykssy0xPLMnMz0vMAfIjo8ziDQ1dLDyM3A18_M29XQwcnQKD3UyN3Y0dfQ30w8EKDDxNTDwMTYy8_YMMDAwcjcM8PIwtnA0N3I31o4jRj0cBSL8BDuBI0H4j4uzHYwFB_VEQJ-JxASE_FOSGhoZGGGQCALbSJYo!/dz/d5/L0lDUmlTUSEhL3dHa0FKRnNBLzROV3FpQSEhL2Fy/#collapseOne1 …

 

[فادي الشام]

السعودية تحبط هجوما إلكترونيا متقدما يستهدف المملكة

أعلنت المملكة العربية السعودية أنها أحبطت هجوما إلكترونيا "متقدما"
يستهدف المملكة، مشيرة إلى أنه تم اتخاذ الإجراءات الاستباقية لمنع الهجوم

أعلن مركز الأمن الإلكتروني السعودي، رصده هجوماً إلكترونياً جديداً متقدماً (APT)
يستهدف المملكة. وتعتمد أنشطته التي تم ملاحظتها على استخدام برمجية التحكم
والتي تقوم بالتواصل مع خادم التحكم والسيطرة باستخدام بروتوكول HTTP

وأشار المركز إلى قيامه بمشاركة الجهات الحيوية مؤشرات الاختراق
والتوصيات اللازمة لاتخاذ الإجراءات الاستباقية المناسبة لمنع الهجوم

تفاصيل الهجوم
يقوم المهاجمون بسرقة البيانات او ارسال أوامر لجهاز الضحية
وحسب مركز الامن المعلوماتي، قد لوحظت الطرق التالية في مرحلة الارسال والثبيت:

حقن مستندات Microsoft Office

كانت معظم العينات التي تمت ملاحظتها ملفات Microsoft Office
و التي تحتوي على ماكرو أو رابط تم إرساله من خلال الرسائل التصيدية
بالإضافة إلى ذلك، يتم ضغط المستندات الخبيثة في بعض الأحيان في ملف RAR
المحمي بكلمة مرور لتجنب آليات حماية البريد
يتم تضمين كلمة المرور عادة في البريد الإلكتروني

الوصول إلى المواقع خبيثة

كما بين المركز انه تم زرع بعض البرامج الخبيثة، وقد لوحظ الإختراق من خلال
موقع ضار على شبكة الانترنت حيث يتم إعادة توجيه المستخدم إلى موقع ويب اخر
ويطلب تحميل الملف الخبيث

طرق الإكتشاف

واوصى مركز الأمن الإلكتروني بإتباع الطرق التالية للكشف عن التحركات المشبوهة
داخل الشبكة والتي قد يكون لها صلة بالهجوم

1. مراجعه السجلات للبرامج التالية Proxy, SIEM and Firewall
والبحث عن أي اتصال بمعرفات تنتهي ب

*.php?c=(Base64 data)

*.aspx?c=(Base64 data)

2. إتصال عبر بروتوكول الـ HTTP إلى عناوين معرفات صحيحة تكون
بدون أسماء نطاقات

3. عدد كبير من الاتصال عبر تروتوكول HTTP إلى معرف أو إسم نطاق وحيد

4. أي إتصال عبر بروتوكول HTTP إلى المعرفات التالية
148.251.204.131 & 144.76.109.88

5. البحث في بوابة البريد الإلكتروني لرسائل إلكترونية مرفق بها ملف محمي
بكلمة مرور أو مرفق Office بداخله وحدات الماكرو التي تم حظرها أو تنبيهها

6. زيادة استخدام "بورشيل" "PowerShell" على نقاط الأجهزه والخوادم

توصيات:

• تحديث PowerShell للنسخة الخامسة وحذف النسخة القدية

• تمكين تسجيل الوحدة النمطية، تسجيل البرنامج النصي وكتاب تسجيل الدخول
في PowerShell الإصدار 5

• التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضاً يحتاج إلى تنفيذها على PowerShell والتاكد من السماح فقط للبرامج التي تحتاج لها الجهة

• منع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل C:Users • استخدام (Email Filtering)
لمسح ومنع أي بريد إلكتروني بداخله مستند ماكرو وغيرها من الملفات الخبيثة مثل
Windows Host Scripting and HTA files

• تنفيذ حل مراقبة سلامة الملفات (FIM) على www root
في جميع تطبيقات الإنترنت
مثل تطبيقات الويب والبريد الإلكتروني و VPN portals
ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم
حيث قد يشير ذلك إلى نجاح الهجوم

​

 

[هامر]

هل هذ المركز اللي انشي قبل فتره قريبه..

لا .. هذا مركز مختص بحماية الجهات الحكومية والحساسة من الهجمات الالكترونية .. والتي تقصدها هيئة الامن السيبراني عملها أشمل وأكبر ..

 

[أبو ع ـنآد]

راح تختفي هالمحاولات بإذن الله بعد المقسم الوطني​

 

[KILL ZONE]

خلاصة ما يتم قوله انهم اكتشفوا ملفات تروجن لإختراق الخوادم..و هذا بعبارة اصح لا يدل على اكتشاف هجوم مخطط له و إنما يدل على وجود شخص يقوم بمحاولة الوصول للسيرفر​

 

[Alucard]

من دون صهيون بذتنا صهاينا.