🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

دراسة حالة: تسرب بيانات اعتماد مزود نظام إدارة الموارد البشرية يفضح بيانات موظفي البنك ويمكّن من الاستحواذ على الحساب

دراسة حالة سلسلة التوريد: بيانات الاعتماد المسربة لموظف مزود نظام إدارة الموارد البشرية تكشف معلومات الموظف الهامة ومعلومات تحديد الهوية الشخصية للبنك والعديد من الشركات التابعة؛ تسمح بالاستيلاء على الحساب

Aarushi Koolwal
February 16, 2024
Green Alert
Last Update posted on
August 21, 2025
تأكد من عدم وجود رابط ضعيف في سلسلة التوريد الخاصة بك.

تميز عام 2023 بارتفاع هجمات سلسلة التوريد. تأكد من الحماية القوية عبر سلسلة توريد البرامج الخاصة بك باستخدام CloudSek Svigil.

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

يتعمق هذا التقرير في دراسة حالة حول حادث أمني تم الكشف عنه كلاودسك منصة أمن سلسلة التوريد الرقمية الوقفة الاحتجاجية على مزود برامج HRMS لبنك بارز والشركات التابعة له.

في دعوة تقشعر لها الأبدان للأمن السيبراني في القطاع المالي، أدى خطأ يبدو غير ضار ارتكبه موظف دعم في مزود برامج نظام إدارة الموارد البشرية (HRMS) إلى خرق البيانات الذي كشف معلومات حساسة لبنك بارز وشركاته التابعة.

  • تبدأ القصة بكراك تم تنزيله. قام موظف دعم إقليمي، يبحث عن اختصار، بتثبيت برنامج غير مصرح به، غير مدرك للبرامج الضارة الكامنة بداخله. هذا البرنامج الضار «سارق المعلومات»، الذي يعمل مثل النشل الرقمي، انتزع بيانات اعتماد الموظف بصمت، مما أتاح الوصول غير المصرح به إلى كنز دفين من البيانات الحساسة.
  • بفضل الامتيازات على مستوى المسؤول، حصل المهاجمون على رؤية بانورامية للبنك والشركات التابعة لها، بما في ذلك شركات إدارة الأصول، وصناديق الاستثمار المشتركة، وعمليات الإقراض/القروض، وتداول الأسهم، والتأمين على الحياة. تخيل مخترقًا ينظر إلى الأعمال الداخلية للبنك، قادرًا على عرض المعلومات ذاتها والتلاعب بها التي تحافظ على نبض قلبه المالي.
  • لكن البيانات المسروقة تجاوزت مجرد الأرقام. تم الكشف عن التفاصيل الشخصية والمهنية للموظفين، بما في ذلك الأسماء ورسائل البريد الإلكتروني وحتى أرقام التعريف المحتملة. تم الكشف عن رموز الموظفين، وهي مفاتيح الأنظمة الداخلية، مما منح المهاجمين إمكانية تصعيد وصولهم وإحداث المزيد من الفوضى.

عواقب هذا الخرق بعيدة المدى. دعونا نتعمق في فهم كيفية حدوث الخرق.

عملية الاختراق الأمني خطوة بخطوة

  • تنزيل البرامج المتصدعة: بدأ الاختراق الأمني عندما قام موظف دعم في مزود برامج HRMS (نظام إدارة الموارد البشرية) لبنك بارز وشركاته التابعة بتنزيل برامج متصدعة. تشير البرامج المتصدعة إلى الإصدارات غير القانونية من البرامج المدفوعة، والتي غالبًا ما تكون متاحة على الإنترنت مجانًا. في هذه الحالة، سعى الموظف إلى الوصول غير المصرح به إلى البرامج المرخصة عن طريق تنزيل نسخة متصدعة.
  • الإصابة بالبرامج الضارة لـ Info Stealer: دون علم الموظف، كان البرنامج المتصدع الذي قام بتنزيله مصابًا ببرنامج ضار لسرقة المعلومات. تم تصميم هذا النوع من البرامج الضارة للتسلل إلى كمبيوتر الضحية وجمع معلومات حساسة، مثل أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور والمزيد. تعمل البرامج الضارة بصمت في الخلفية، مما يجعل من الصعب على المستخدم اكتشافها.
  • الوصول غير المصرح به إلى بيانات HRMS: نظرًا لأن البرامج الضارة موجودة الآن على كمبيوتر الموظف، فقد بدأت في جمع البيانات الحساسة من النظام المصاب. كان لدى البرامج الضارة القدرة على تسجيل ضغطات المفاتيح والتقاط بيانات اعتماد تسجيل الدخول والوصول إلى المعلومات المخزنة.
  • تسرب بيانات الاعتماد إلى الويب المظلم: ومع استمرار البرامج الضارة في جمع البيانات، قامت بتهريب المعلومات المسروقة، بما في ذلك بيانات اعتماد تسجيل الدخول، إلى خادم بعيد يتحكم فيه المهاجمون. من المحتمل أن يكون هذا الخادم موجودًا على الويب المظلم، وهو جزء مخفي من الإنترنت حيث تتم الأنشطة غير القانونية في كثير من الأحيان.
  • يحصل المستخدمون غير المصرح لهم على الوصول: من خلال بيانات اعتماد تسجيل الدخول المسروقة، تمكن المستخدمون غير المصرح لهم من الوصول إلى نظام HRMS للبنك والشركات التابعة له. سمح لهم هذا الوصول بعرض ومعالجة بيانات HRMS الحساسة المتعلقة بالأنشطة المالية المختلفة، بما في ذلك شركات إدارة الأصول (AMC) وصناديق الاستثمار المشتركة والإقراض/القروض وتداول الأسهم والتأمين على الحياة.
  • استغلال وظيفة الاستحواذ على الحساب: استغل المهاجمون وظيفة الاستحواذ على الحساب المضمنة داخل نظام HRMS. سمحت لهم هذه الوظيفة بالوصول غير المصرح به إلى حسابات المستخدمين، واختطاف الجلسات النشطة، واستنساخ الحسابات، ورفع امتيازاتهم، وتنفيذ هجمات الهندسة الاجتماعية المستهدفة داخل النظام.
  • تغييرات كلمة المرور بدون مصادقة: كما مكنت وظيفة الوصول غير المصرح به والاستيلاء على الحساب المهاجمين من تغيير كلمات المرور دون مصادقة مناسبة. أدى ذلك إلى الكشف عن معلومات التعريف الشخصية (PII) للموظفين بسبب تغييرات كلمة المرور غير المصرح بها، مما زاد من تعريض أمن نظام HRMS للخطر.
  • تسوية الرسائل الداخلية: عندما سيطر المهاجمون على نظام HRMS، تمكنوا من اختراق الرسائل الداخلية داخل المؤسسة. وشمل ذلك الاتصالات الحساسة المتعلقة بسرقة الهوية والوصول غير المصرح به والتلاعب بالبيانات وحتى الاحتيال في الرواتب.
  • مخاطر البيانات والآثار القانونية: كانت عواقب هذا الخرق كبيرة، مما أدى إلى مخاطر البيانات مثل سرقة الهوية والوصول غير المصرح به والتلاعب بالبيانات والاحتيال في الرواتب. كان للكشف عن المعلومات الحساسة آثار قانونية وتنظيمية على البنك والشركات التابعة له، مما يشكل تهديدًا خطيرًا لعملياتها واستقرارها المالي.

ما هي البرامج الضارة لسرقة المعلومات؟

سارق المعلومات هو نوع من البرامج الضارة التي يستخدمها مجرمو الإنترنت لجمع تفاصيل حساسة، على سبيل المثال، المعلومات المتعلقة ببيانات اعتماد الضحية (أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور) والمعلومات المالية مثل تفاصيل بطاقة الائتمان وأرقام الحسابات المصرفية وما إلى ذلك.

تعمل أداة سرقة المعلومات هذه على نموذج MaaS (البرامج الضارة كخدمة) ويتم توزيعها على المنتديات السرية وفقًا لاحتياجات المستخدمين؛ تم تعيين التكلفة على 275 دولارًا في الشهر، أو خيار الاشتراك 125 دولارًا في الأسبوع. في قناة Telegram، يمكن الحصول على البرامج الضارة ودفعها في عملات البيتكوين والإيثيريوم وXMR وLTC وUSDT.

التوصيات

  • قم بإبطال جميع بيانات الاعتماد المكشوفة وإخطار الموظف بإصابة البرامج الضارة.
  • اعزل الكمبيوتر المخترق وتحقق من الحجر الصحي الناجح أو إزالة البرامج الضارة لضمان أمان الجهاز.
  • راجع سجلات الوصول بحثًا عن تسريح/معالجة البيانات المحتملة والأبواب الخلفية.
  • قم بإجراء تحليل السبب الجذري (RCA) لعدوى البرامج الضارة للكشف عن أصولها وتنفيذ تدابير وقائية ضد الإصابات المستقبلية.
  • قم بتثقيف الموظفين حول أهمية تجنب الروابط غير الموثوق بها ومرفقات البريد الإلكتروني والملفات القابلة للتنفيذ التي لم يتم التحقق منها.
  • قم بتطبيق سياسة كلمات مرور قوية وتغيير كلمات المرور على أساس دوري.
  • شجع الموظفين على عدم تخزين كلمات المرور في متصفحات الويب الخاصة بهم.
  • أبقِ فريق الأمان مطلعًا جيدًا على التكتيكات والتقنيات والإجراءات الحالية (TTPs) التي تستخدمها مجموعات برامج الفدية لتحقيق أهدافها.

المراجع

Author

Aarushi Koolwal

Aarushi Koolwal is an avid cyber security learner.

Predict Cyber threats against your organization

Related Posts

تحليل الهجمات الإلكترونية الأخيرة في الولايات المتحدة بالتزامن مع الاحتفال بيوم كولومبوس

على مدى الأشهر الأخيرة، واجهت الولايات المتحدة زيادة في الهجمات الإلكترونية، مع ارتفاع حوادث برامج الفدية بشكل حاد من يونيو إلى أكتوبر 2024. استهدفت المجموعات البارزة، بما في ذلك Play و RansomHub و Lockbit و Qilin و Meow، قطاعات مثل خدمات الأعمال والتصنيع وتكنولوجيا المعلومات والرعاية الصحية، مما يعرض أكثر من 800 منظمة للخطر. تضمنت الهجمات الرئيسية خرقًا لمدينة كولومبوس بواسطة Rhysida ransomware وتسريبات البيانات التي تؤثر على إدارة الانتخابات في فرجينيا و Healthcare.gov. بالإضافة إلى ذلك، تستهدف حملة التجسس الصينية «سولت تايفون» بقوة مزودي خدمات الإنترنت في الولايات المتحدة، مما يزيد من تعقيد مشهد التهديدات الإلكترونية. كما زادت مجموعات الهاكتيفيست التي تدافع عن المواقف المؤيدة لروسيا والمؤيدة للفلسطينيين من هجماتها، مما أثر على الكيانات الحكومية والبنية التحتية الحيوية. يسلط هذا التقرير الضوء على الحاجة إلى بروتوكولات أمنية محسنة وعمليات تدقيق منتظمة ومبادرات توعية عامة للتخفيف من المخاطر السيبرانية المتزايدة. تشمل التوصيات الرئيسية تنفيذ المصادقة متعددة العوامل، والتدريب المتكرر للموظفين، ومراقبة التهديدات المتقدمة لحماية البنية التحتية الحيوية للدولة وثقة الجمهور.

أهم 5 هجمات شهيرة لسلسلة توريد البرامج في عام 2023

استكشف الطبيعة الحرجة للهجمات الإلكترونية لسلسلة التوريد وتعرف على كيفية تقوية دفاعاتك ضد هذا التهديد المتزايد في عام 2023.

فهم المخاطر الإلكترونية المتعلقة بالمورد أو الطرف الثالث

اكتشف تعقيدات المخاطر الإلكترونية للجهات الخارجية وتعلم كيفية تعزيز الدفاعات الرقمية لمؤسستك ضد هذه التهديدات المتطورة.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

خرق
Table of Content

ملخص تنفيذي

يتعمق هذا التقرير في دراسة حالة حول حادث أمني تم الكشف عنه كلاودسك منصة أمن سلسلة التوريد الرقمية الوقفة الاحتجاجية على مزود برامج HRMS لبنك بارز والشركات التابعة له.

في دعوة تقشعر لها الأبدان للأمن السيبراني في القطاع المالي، أدى خطأ يبدو غير ضار ارتكبه موظف دعم في مزود برامج نظام إدارة الموارد البشرية (HRMS) إلى خرق البيانات الذي كشف معلومات حساسة لبنك بارز وشركاته التابعة.

  • تبدأ القصة بكراك تم تنزيله. قام موظف دعم إقليمي، يبحث عن اختصار، بتثبيت برنامج غير مصرح به، غير مدرك للبرامج الضارة الكامنة بداخله. هذا البرنامج الضار «سارق المعلومات»، الذي يعمل مثل النشل الرقمي، انتزع بيانات اعتماد الموظف بصمت، مما أتاح الوصول غير المصرح به إلى كنز دفين من البيانات الحساسة.
  • بفضل الامتيازات على مستوى المسؤول، حصل المهاجمون على رؤية بانورامية للبنك والشركات التابعة لها، بما في ذلك شركات إدارة الأصول، وصناديق الاستثمار المشتركة، وعمليات الإقراض/القروض، وتداول الأسهم، والتأمين على الحياة. تخيل مخترقًا ينظر إلى الأعمال الداخلية للبنك، قادرًا على عرض المعلومات ذاتها والتلاعب بها التي تحافظ على نبض قلبه المالي.
  • لكن البيانات المسروقة تجاوزت مجرد الأرقام. تم الكشف عن التفاصيل الشخصية والمهنية للموظفين، بما في ذلك الأسماء ورسائل البريد الإلكتروني وحتى أرقام التعريف المحتملة. تم الكشف عن رموز الموظفين، وهي مفاتيح الأنظمة الداخلية، مما منح المهاجمين إمكانية تصعيد وصولهم وإحداث المزيد من الفوضى.

عواقب هذا الخرق بعيدة المدى. دعونا نتعمق في فهم كيفية حدوث الخرق.

عملية الاختراق الأمني خطوة بخطوة

  • تنزيل البرامج المتصدعة: بدأ الاختراق الأمني عندما قام موظف دعم في مزود برامج HRMS (نظام إدارة الموارد البشرية) لبنك بارز وشركاته التابعة بتنزيل برامج متصدعة. تشير البرامج المتصدعة إلى الإصدارات غير القانونية من البرامج المدفوعة، والتي غالبًا ما تكون متاحة على الإنترنت مجانًا. في هذه الحالة، سعى الموظف إلى الوصول غير المصرح به إلى البرامج المرخصة عن طريق تنزيل نسخة متصدعة.
  • الإصابة بالبرامج الضارة لـ Info Stealer: دون علم الموظف، كان البرنامج المتصدع الذي قام بتنزيله مصابًا ببرنامج ضار لسرقة المعلومات. تم تصميم هذا النوع من البرامج الضارة للتسلل إلى كمبيوتر الضحية وجمع معلومات حساسة، مثل أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور والمزيد. تعمل البرامج الضارة بصمت في الخلفية، مما يجعل من الصعب على المستخدم اكتشافها.
  • الوصول غير المصرح به إلى بيانات HRMS: نظرًا لأن البرامج الضارة موجودة الآن على كمبيوتر الموظف، فقد بدأت في جمع البيانات الحساسة من النظام المصاب. كان لدى البرامج الضارة القدرة على تسجيل ضغطات المفاتيح والتقاط بيانات اعتماد تسجيل الدخول والوصول إلى المعلومات المخزنة.
  • تسرب بيانات الاعتماد إلى الويب المظلم: ومع استمرار البرامج الضارة في جمع البيانات، قامت بتهريب المعلومات المسروقة، بما في ذلك بيانات اعتماد تسجيل الدخول، إلى خادم بعيد يتحكم فيه المهاجمون. من المحتمل أن يكون هذا الخادم موجودًا على الويب المظلم، وهو جزء مخفي من الإنترنت حيث تتم الأنشطة غير القانونية في كثير من الأحيان.
  • يحصل المستخدمون غير المصرح لهم على الوصول: من خلال بيانات اعتماد تسجيل الدخول المسروقة، تمكن المستخدمون غير المصرح لهم من الوصول إلى نظام HRMS للبنك والشركات التابعة له. سمح لهم هذا الوصول بعرض ومعالجة بيانات HRMS الحساسة المتعلقة بالأنشطة المالية المختلفة، بما في ذلك شركات إدارة الأصول (AMC) وصناديق الاستثمار المشتركة والإقراض/القروض وتداول الأسهم والتأمين على الحياة.
  • استغلال وظيفة الاستحواذ على الحساب: استغل المهاجمون وظيفة الاستحواذ على الحساب المضمنة داخل نظام HRMS. سمحت لهم هذه الوظيفة بالوصول غير المصرح به إلى حسابات المستخدمين، واختطاف الجلسات النشطة، واستنساخ الحسابات، ورفع امتيازاتهم، وتنفيذ هجمات الهندسة الاجتماعية المستهدفة داخل النظام.
  • تغييرات كلمة المرور بدون مصادقة: كما مكنت وظيفة الوصول غير المصرح به والاستيلاء على الحساب المهاجمين من تغيير كلمات المرور دون مصادقة مناسبة. أدى ذلك إلى الكشف عن معلومات التعريف الشخصية (PII) للموظفين بسبب تغييرات كلمة المرور غير المصرح بها، مما زاد من تعريض أمن نظام HRMS للخطر.
  • تسوية الرسائل الداخلية: عندما سيطر المهاجمون على نظام HRMS، تمكنوا من اختراق الرسائل الداخلية داخل المؤسسة. وشمل ذلك الاتصالات الحساسة المتعلقة بسرقة الهوية والوصول غير المصرح به والتلاعب بالبيانات وحتى الاحتيال في الرواتب.
  • مخاطر البيانات والآثار القانونية: كانت عواقب هذا الخرق كبيرة، مما أدى إلى مخاطر البيانات مثل سرقة الهوية والوصول غير المصرح به والتلاعب بالبيانات والاحتيال في الرواتب. كان للكشف عن المعلومات الحساسة آثار قانونية وتنظيمية على البنك والشركات التابعة له، مما يشكل تهديدًا خطيرًا لعملياتها واستقرارها المالي.

ما هي البرامج الضارة لسرقة المعلومات؟

سارق المعلومات هو نوع من البرامج الضارة التي يستخدمها مجرمو الإنترنت لجمع تفاصيل حساسة، على سبيل المثال، المعلومات المتعلقة ببيانات اعتماد الضحية (أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور) والمعلومات المالية مثل تفاصيل بطاقة الائتمان وأرقام الحسابات المصرفية وما إلى ذلك.

تعمل أداة سرقة المعلومات هذه على نموذج MaaS (البرامج الضارة كخدمة) ويتم توزيعها على المنتديات السرية وفقًا لاحتياجات المستخدمين؛ تم تعيين التكلفة على 275 دولارًا في الشهر، أو خيار الاشتراك 125 دولارًا في الأسبوع. في قناة Telegram، يمكن الحصول على البرامج الضارة ودفعها في عملات البيتكوين والإيثيريوم وXMR وLTC وUSDT.

التوصيات

  • قم بإبطال جميع بيانات الاعتماد المكشوفة وإخطار الموظف بإصابة البرامج الضارة.
  • اعزل الكمبيوتر المخترق وتحقق من الحجر الصحي الناجح أو إزالة البرامج الضارة لضمان أمان الجهاز.
  • راجع سجلات الوصول بحثًا عن تسريح/معالجة البيانات المحتملة والأبواب الخلفية.
  • قم بإجراء تحليل السبب الجذري (RCA) لعدوى البرامج الضارة للكشف عن أصولها وتنفيذ تدابير وقائية ضد الإصابات المستقبلية.
  • قم بتثقيف الموظفين حول أهمية تجنب الروابط غير الموثوق بها ومرفقات البريد الإلكتروني والملفات القابلة للتنفيذ التي لم يتم التحقق منها.
  • قم بتطبيق سياسة كلمات مرور قوية وتغيير كلمات المرور على أساس دوري.
  • شجع الموظفين على عدم تخزين كلمات المرور في متصفحات الويب الخاصة بهم.
  • أبقِ فريق الأمان مطلعًا جيدًا على التكتيكات والتقنيات والإجراءات الحالية (TTPs) التي تستخدمها مجموعات برامج الفدية لتحقيق أهدافها.

المراجع

Aarushi Koolwal
Aarushi Koolwal is an avid cyber security learner.

Aarushi Koolwal is an avid cyber security learner.

Related Blogs