الفئة: استخبارات الخصمنوع التهديد: أحدث هجومالتحفيز: هاكتيفيستالمنطقة: الهندمصدر*: D4

ملخص تنفيذي

تهديدتأثيرتخفيف

• أعلنت شركة DragonForce Malaysia، وهي مجموعة قراصنة إلكترونية تشارك بنشاط في استهداف الكيانات الهندية، عن استغلال الثغرات الأمنية الحرجة في تصعيد الامتيازات المحلية (LPE) وموجه التوزيع المحلي (LDR) لخوادم Windows ومشاركتها.
• كما أعلنت المجموعة عن خططها للتحويل إلى مجموعة برامج الفدية.

• يمكن للجهات الفاعلة مسح الإنترنت بحثًا عن الحالات الضعيفة من Windows LPE والاستفادة من هذه الثغرة الأمنية لشن هجمات ضد الكيانات الهندية الهامة المملوكة لكل من القطاعين الحكومي والخاص.
• علاوة على ذلك، قد يخططون للاستفادة من هذه المشكلة لتنفيذ هجمات برامج الفدية المعقدة.

• ابحث عن التصحيحات والحلول البديلة للثغرات الأمنية التي تستهدف Windows.
• تدقيق ورصد الانحرافات في الشبكات التي يمكن أن تكون مؤشرات للتسوية المحتملة.

كلاود سيكمنصة مراقبة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر حددت منشورًا على قناة Telegram حيث شاركت مجموعة المتسللين، DragonForce Malaysia، في استغلال لتجاوز Windows Server LPE LDR لاستهداف واستغلال الخوادم الهندية. شاركت المجموعة أيضًا مقطع فيديو عملي لـ PoC (إثبات المفهوم) لإثبات ادعاءاتهم. [معرف التسمية التوضيحية = «المرفق _19823" aligncenter «العرض ="431"] دراغون فورس تنشر التحديثات على قناتها على تيليجرام [/caption]

التحليل والإسناد

معلومات من منتديات الجرائم الإلكترونية

• في 23 يونيو 2022، نشرت DragonForce Malaysia منشورًا على قناتها على Telegram، حيث شاركت PoC لاستغلال الثغرات الأمنية في Windows Server LPE و LDR. وقد نسبت المجموعة إلى ممثل تهديد اسمه «مستحيل 1337» لنفس الشيء.
• ذكرت المجموعة أيضًا خططها للتحول إلى مجموعة برامج الفدية وشاركت نموذج مذكرة الفدية كدليل.

[معرف التسمية التوضيحية = «المرفق _19824" aligncenter «العرض = «799"] نموذج مذكرة الفدية التي شاركتها DragonForce لإثبات خططها للتحول إلى مجموعة برامج الفدية [/caption]

• في نفس اليوم، نشرت المجموعة مدونة على موقعها الرسمي، وبذلك أعلنت عن خططها لشن هجمات واسعة الانتشار وهجمات الفدية. بعد نشر مدونتهم، لوحظ قدر كبير من الأحاديث على تويتر، والتي تلقت الكثير من الانتقادات.
• في السابق، شوهد DragonForce وهو يناقش استغلالًا لثغرة خطيرة في تنفيذ التعليمات البرمجية عن بُعد غير مصادق عليها موجودة في خادم Confluence ومركز البيانات، CVE-2022-26134، من أجل استهداف الكيانات الهندية واستغلالها بنشاط. (لمزيد من المعلومات، راجع قسم الملحق)

حول دراجون فورس

• في 10 يونيو 2022، اكتشفت منصة XviGil للمخاطر الرقمية السياقية للذكاء الاصطناعي التابعة لـ CloudSek تغريدة نشرتها مجموعة هاكتيفيست ماليزية تحمل اسم DragonForce، تدعو إلى شن هجمات على مواقع الحكومة الهندية من قبل قراصنة مسلمين في جميع أنحاء العالم.
• كان الهدف الأساسي للمجموعة من الهجوم، كما زعموا، هو الرد على الحكومة الهندية بسبب التعليقات المثيرة للجدل حول النبي محمد من قبل بعض السياسيين الهنود.
• المجموعة التي تقف وراء هذه الدعوة الإلكترونية لحمل السلاح، DragonForce Malaysia، هي مجموعة هاكتيفيست مؤيدة للفلسطينيين ومقرها في ماليزيا.
• تمتلك هذه المجموعة وتدير منتدى حيث تنشر الإعلانات وتناقش أحدث أنشطتها.
• تحتوي المجموعة أيضًا على صفحات Instagram و Facebook إلى جانب قنوات Telegram المتعددة. ومع ذلك، يتم نسخ معظم المحتوى عبر مواقع الويب الخاصة بهم ومقابض الوسائط الاجتماعية.
• تقوم المجموعة بحملات توظيف وترويج منتظمة باستخدام بكرات Tiktok و Instagram.

قنوات الاتصال الرسمية لـ DragonForce

المنتدى: https [:] //دراغون فورس [.] راديو: https [:] //راديو [.] دراغون فورس [.] إو فيسبوك: https [:] //fb [.] أنا/دراغون فورس أوتيوتيليجرام: https [:] //t [.] أنا/دراغون فورس إنترنت تويتر: https [:] //تويتر [.] com/dragonforceioInstagram: https [:] //dragonforceIoInstagram: https [:] //dragonforce IoInstagram: https [:] //dragonforce IoInstagram: https [:] //dragonforce IoT موقع يوتيوب الخاص بإنترنت: https [:] //www.youtube [.] كوم/قناة/UC9gycrxuy7-WMULPBKBP4BW

التأثير والتخفيف

التأثيرالتخفيف

• ترتبط DragonForce بالعديد من مجموعات الهاكتيفيست لحملتها ضد الكيانات الهندية. يمنحهم هذا الاستغلال المزيد من الفرص لتشويه قاعدة بيانات الكيانات الهندية وتفريغها.
• يمكن للمهاجمين استخدام هذه الثغرة الأمنية لتنفيذ الأوامر عن بُعد.
• يمكن للجهات الفاعلة في مجال التهديد الاستفادة من هذه الفرصة لاستهداف الضحايا ونشر برامج الفدية.
• الخسارة المحتملة للإيرادات والسمعة والملكية الفكرية.

• قم بتصحيح خوادم Windows للتخفيف من الثغرات الموجودة حاليًا، أو اللجوء إلى أحدث الحلول التي يوفرها البائع.
• تدقيق ورصد الانحرافات في الشبكات التي يمكن أن تكون مؤشرات للتسوية المحتملة.

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا
• تغريدة من دراغون فورس
• تقرير كلاودسك عن CVE-2022-26134

الملحق

[معرف التسمية التوضيحية = «المرفق _19825" aligncenter «العرض ="998"] تمت مشاركة إثبات المفهوم لاستغلال ثغرة Windows LPE LDR [/caption] [معرف التسمية التوضيحية = «المرفق _19826" aligncenter «العرض ="585"] انتقادات تلقتها دراغون فورس على إعلانها على تويتر [/caption] [معرف التسمية التوضيحية = «المرفق _19827" aligncenter» width="565"] منشور منتدى الجرائم الإلكترونية يناقش CVE-2022-26134 [/caption]