22 يوليو، 2025 - 1:47 ص
  • من نحن
  • سياسة الخصوصية
  • اتصل بنا
No Result
View All Result
  • Login
ميجا نيوز
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت
ميجا نيوز
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت
No Result
View All Result
No Result
View All Result
ميجا نيوز
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت
Home بيزنس

كاسبرسكي تكشف أبرز الممارسات الأمنية لحماية المؤسسات من هجمات التجسس

by فريق العمل
يوليو 21, 2025
A A
كاسبرسكي تكشف أبرز الممارسات الأمنية لحماية المؤسسات من هجمات التجسس
Share on FacebookShare on Twitter

كشف خبراء خدمة الاكتشاف والاستجابة المُدارة من كاسبرسكي عن هجوم سيبراني تجسسي على مؤسسة في جنوب القارة الأفريقية، وأشاروا إلى صلته بمجموعة APT41 الصينية. ورغم محدودية نشاط مصدر التهديد في جنوب القارة الأفريقية، يوضّح هذا الحادث استهداف المهاجمين لخدمات تكنولوجيا المعلومات الحكومية في إحدى دول المنطقة، سعياً لسرقة معلومات مؤسسية حساسة – بما فيها معلومات الدخول والوثائق الداخلية والكود المصدري والاتصالات.

مجموعات التهديدات المتقدمة المستمرة (APT) هي فئة من مصادر التهديد التي تتميز بشن هجمات مدروسة وخفية ومتواصلة على مؤسسات محددة، خلافاً للحوادث الانتهازية والمنفردة التي تمثل غالبية أنشطة الجرائم السيبرانية. وساهم أسلوب الهجوم الذي تم رصده في جنوب القارة الأفريقية في تمكين كاسبرسكي من ربطه بثقة كبيرة بمجموعة APT41 الناطقة بالصينية. كان الهدف الأساسي للهجوم هو التجسس السيبراني، وهو نمط معتاد لمصدر التهديد المذكور. حيث سعى المهاجمون لجمع معلومات حساسة من الأجهزة التي تمكنوا من اختراقها في شبكة المؤسسة. ومن الجدير بالذكر أن نشاط مجموعة APT41 في جنوب القارة الأفريقية عادةً ما يكون محدوداً. حيث تركز المجموعة على التجسس السيبراني مستهدفة مؤسسات في عدة قطاعات، تشمل مقدمي خدمات الاتصالات، والمؤسسات التعليمية والصحية، وقطاعات تكنولوجيا المعلومات، والطاقة وغيرها، حيث رُصد نشاطها في ما لا يقل عن 42 دولة.

بناءً على تحليل خبراء كاسبرسكي، يُحتمل أن المهاجمين وصلوا إلى شبكة المؤسسة من خلال خادم ويب مكشوف للإنترنت. وباستخدام أسلوب جمع بيانات الاعتماد – المعروف تقنياً باسم تفريغ السجل (Registry Dumping) – استولى المهاجمون على حسابين في نطاق المؤسسة: الأول لديه صلاحيات إدارة محلية على كل أجهزة العمل، والثاني خاص بنظام النسخ الاحتياطي ويتمتع بصلاحيات إدارة النطاق. أتاحت هذه الحسابات للمهاجمين اختراق المزيد من الأنظمة داخل المؤسسة.

وكانت إحدى أدوات السرقة المستخدمة لجمع البيانات هي نسخة معدلة من أداة Pillager، المصممة لتصدير البيانات وفك تشفيرها. حيث قاموا بتحويل كودها من ملف قابل للتنفيذ إلى مكتبة ارتباط ديناميكي (DLL). واستهدفوا من خلالها جمع بيانات الدخول المخزنة في المتصفحات وقواعد البيانات والأدوات الإدارية، بالإضافة إلى الكود المصدري للمشاريع، ولقطات الشاشة، وجلسات المحادثة النشطة وبياناتها، ومراسلات البريد الإلكتروني، وقوائم البرمجيات المثبتة، وبيانات دخول نظام التشغيل، وبيانات دخول شبكة الواي فاي، ومعلومات أخرى.

أما برنامج السرقة الثاني المستخدم في الهجوم فكان يحمل اسم؛ Checkout. فبجانب معلومات الدخول المخزنة وسجل المتصفح، كان بإمكانه أيضاً جمع معلومات عن الملفات المحملة، وبيانات البطاقات الائتمانية المخزنة في المتصفح. كما استعان المهاجمون بأداة RawCopy ونسخة من Mimikatz تم تجميعها كمكتبة ارتباط ديناميكي (DLL) لاستخراج ملفات السجل وبيانات الدخول، مع استخدام Cobalt Strike للاتصال بخوادم قيادة التحكم (C2) على الأجهزة المخترقة.

يوضح دينيس كوليك، كبير محللي مركز العمليات الأمنية في خدمة الكشف والاستجابة المدارة لدى كاسبرسكي: «من اللافت أن المهاجمين اختاروا خادم SharePoint داخل البنية التحتية للضحية كإحدى قنوات التحكم والسيطرة (C2) إلى جانب Cobalt Strike. وتواصلوا معه باستخدام وكلاء C2 مخصصين مرتبطين بواجهة ويب خفية. ربما اختاروا SharePoint لأنه خدمة داخلية موجودة بالفعل في البنية التحتية ومن المستبعد أن تثير الشكوك. بالإضافة لذلك، في تلك الحالة، ربما وفرت أسهل وسيلة لتسريب البيانات والتحكم بالأجهزة المخترقة عبر قناة اتصال مشروعة.»

ويضيف دينيس كوليك: «عموماً، لا يمكن صد مثل هذه الهجمات المعقدة بدون خبرة متكاملة ورصد متواصل لكامل البنية التحتية. من المهم الحفاظ على تغطية أمنية شاملة لجميع الأنظمة باستخدام حلول تستطيع منع النشاطات الخبيثة آلياً في مراحلها الأولى – وتجنب إعطاء حسابات المستخدمين صلاحيات تزيد عن الحاجة».

للحد من هذه الهجمات أو تفاديها، تُعتبر الممارسات التالية من بين الأفضل التي يُنصح بها للمؤسسات:

 

كاسبرسكي تكشف أبرز الممارسات الأمنية لحماية المؤسسات من هجمات التجسس على النحو التالي:

 

قد يهمك ايضا

فاليو تقدم حلول مالية لمبادرة Learn to Earn لتأهيل شباب مصر لسوق العمل

أسباب تصدر شركة فوري ترتيب شركات التكنولوجيا المالية في السوق المصري

● التأكد من تثبيت برامج الحماية الأمنية على كافة أجهزة العمل في المؤسسة بدون استثناء، مما يتيح اكتشاف الحوادث في الوقت المناسب وتقليل الأضرار المحتملة.

● مراجعة وضبط صلاحيات حسابات الخدمات والمستخدمين، مع تجنب منح صلاحيات غير ضرورية – خاصة للحسابات المستخدمة عبر أجهزة متعددة داخل البنية التحتية.

● لحماية الشركة من نطاق واسع من التهديدات، استخدم حلول خط منتجات Kaspersky Next التي تقدم حماية فورية، ورصد للتهديدات، وقدرات التحقيق والاستجابة لكل من حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) وحلول الاكتشاف والاستجابة الموسعة (XDR) للمؤسسات من مختلف الأحجام والقطاعات. وحسب احتياجاتك الراهنة ومواردك المتاحة، يمكنك اختيار المستوى الأنسب من المنتج والترقية بسلاسة إلى مستوى آخر عند تغير متطلبات الأمن السيبراني لديك.

● تبني خدمات الأمن المُدارة من كاسبرسكي مثل تقييم الاختراق، وخدمة الاكتشاف والاستجابة المُدارة (MDR) و/أو الاستجابة للحوادث، التي تشمل دورة إدارة الحوادث بالكامل – من رصد التهديدات حتى الحماية المتواصلة والإصلاح. تساعد هذه الخدمات في الحماية من الهجمات السيبرانية المراوغة، والتحقيق في الحوادث، والحصول على خبرات إضافية حتى إذا كانت الشركة تفتقر إلى متخصصين في الأمن السيبراني.

● امنح خبراء أمن المعلومات في مؤسستك رؤية شاملة للتهديدات السيبرانية التي تستهدفها. سيقدم نظام Kaspersky Threat Intelligence الجديد معلومات سياقية غنية وقيّمة خلال دورة إدارة الحوادث بأكملها، ويساعدهم في اكتشاف المخاطر السيبرانية في الوقت المناسب.

يتوفر تحليل مفصل للحادث على موقع Securelist. Ka

spersky Managed Detection and Response experts observed a cyber espionage attack on a Southern African organization and linked it to the Chinese-speaking group APT41. Although the threat actor has shown limited activity in Southern Africa, this incident reveals that the attackers have targeted government IT services in one of the countries in the region, attempting to steal sensitive corporate data — including credentials, internal documents, source code, and communications.

APT (Advanced Persistent Threat) is a category of threat actors known for carrying out concerted, stealthy, and ongoing attacks against specific organizations, as opposed to opportunistic, isolated incidents that account for most cybercriminal activity. The adversaries’ techniques observed during the attack in Southern Africa allowed Kaspersky to attribute it to the Chinese-speaking APT41 group with a high confidence. The primary goal of the attack was cyber espionage, which is typical for this threat actor. The attackers attempted to collect sensitive data from the machines they compromised within the organization’s network.

It is noteworthy that APT41 typically has been showing quite limited activity in the Southern African region. APT41 specializes in cyber espionage and targets organizations across various industries, including telecommunications providers, educational and healthcare institutions, IT, energy, and other sectors, with known activity in at least 42 countries.

Based on Kaspersky experts’ analysis, the attackers may have gained access to the organization’s network through a web server exposed to the internet. Using a credential harvesting technique – known in professional terms as registry dumping – the attackers obtained two corporate domain accounts: one with local administrator rights on all workstations and another belonging to a backup solution, which had domain administrator privileges. These accounts allowed the attackers to compromise additional systems within the organization.

One of the stealers used for data collection was a modified Pillager utility, designed for exporting and decrypting data. The attackers compiled its code from an executable file into a Dynamic Link Library (DLL). With it, they aimed to gather saved credentials from browsers, databases, administrative tools, as well as project source code, screenshots, active chat sessions and their data, email correspondence, lists of installed software, operating system credentials, Wi-Fi credentials, and other information.

The second stealer used during the attack was Checkout. In addition to saved credentials and browser history, it was also capable of collecting information on downloaded files and browser-stored credit card data. The attackers also used the RawCopy utility and a version of Mimikatz compiled as a Dynamic Link Library (DLL) to dump registry files and credentials, as well as Cobalt Strike for Command and Control (C2) communication on compromised hosts.

“Interestingly, as one of their C2 communication channels besides Cobalt Strike, the attackers chose the SharePoint server within the victim’s infrastructure. They communicated with it using custom C2 agents connected with a web-shell. They may have chosen SharePoint because it was an internal service already present in the infrastructure and unlikely to raise suspicion. Moreover, in that case, it probably offered the most convenient way to exfiltrate data and control compromised hosts through a legitimate communication channel,” explains Denis Kulik, Lead SOC Analyst at Kaspersky Managed Detection and Response service.

“In general, defending against such sophisticated attacks is impossible without comprehensive expertise and continuous monitoring of the entire infrastructure. It is essential to maintain full security coverage across all systems with solutions capable of automatically blocking malicious activity at an early stage — and to avoid granting user accounts excessive privileges,” comments Denis Kulik.

To mitigate or prevent similar attacks, organizations are advised to follow these best practices:

● Ensure that security agents are deployed on all workstations within the organization without exception, to enable timely incident detection and minimize potential damage.

● Review and control service and user account privileges, avoiding excessive rights assignments – especially for accounts used across multiple hosts within the infrastructure.

● To protect the company against a wide range of threats, use solutions from the Kaspersky Next product line that provide real-time protection, threat visibility, investigation and the response capabilities of EDR and XDR for organizations of any size and industry. Depending on your current needs and available resources, you can choose the most relevant product tier and easily migrate to another one if your cybersecurity requirements are changing.

● Adopt managed security services by Kaspersky such as Compromise Assessment, Managed Detection and Response (MDR) and / or Incident Response, covering the entire incident management cycle – from threat identification to continuous protection and remediation. They help to protect against evasive cyberattacks, investigate incidents and get additional expertise even if a company lacks cybersecurity workers.

● Provide your InfoSec professionals with an in-depth visibility into cyberthreats targeting your organization. The latest Kaspersky Threat Intelligence will provide them with rich and meaningful context across the entire incident management cycle and helps them identify cyber risks in a timely manner.

 

 

 

 

 

 

 

 

Tags: أمن المعلوماتالأمن السيبرانيالذكاء الاصطناعيالمؤسساتالممارسات الأمنيةكاسبرسكيهجمات التجسس
Share130Tweet81

موضوعات مقترحة

فاليو تقدم حلول مالية لمبادرة Learn to Earn لتأهيل شباب مصر لسوق العمل
بيزنس

فاليو تقدم حلول مالية لمبادرة Learn to Earn لتأهيل شباب مصر لسوق العمل

أسباب تصدر شركة فوري ترتيب شركات التكنولوجيا المالية في السوق المصري
بيزنس

أسباب تصدر شركة فوري ترتيب شركات التكنولوجيا المالية في السوق المصري

كيف يسهم إحياء الماركات الوطنية في تعظيم الاقتصاد المصري وتنمية الاستثمار؟
بيزنس

كيف يسهم إحياء الماركات الوطنية في تعظيم الاقتصاد المصري وتنمية الاستثمار؟

إيمان وافي رئيساً لقطاع البترول والطاقة بشركات “ICT Misr” و”IoT Misr” و “ICT Libya” بخبرات تتخطى 38 عاماً
بيزنس

إيمان وافي رئيساً لقطاع البترول والطاقة بشركات “ICT Misr” و”IoT Misr” و “ICT Libya” بخبرات تتخطى 38 عاماً

25% نسبة نمو أعمال مجموعة ASG للأنظمة الأمنية وكاميرات المراقبة
بيزنس

25% نسبة نمو أعمال مجموعة ASG للأنظمة الأمنية وكاميرات المراقبة

Next Post
أسباب تصدر شركة فوري ترتيب شركات التكنولوجيا المالية في السوق المصري

أسباب تصدر شركة فوري ترتيب شركات التكنولوجيا المالية في السوق المصري

أمازون تقدم تخفيضات خاصة على منتجات الأزياء حتى 50%

أمازون تقدم تخفيضات خاصة على منتجات الأزياء حتى 50%

أبرز مشاهد مسلسل “كتالوج” بعد عرضه على نتفليكس

أبرز مشاهد مسلسل "كتالوج" بعد عرضه على نتفليكس

شوف شرطة فلوريدا تصطاد التماسيح في الشوارع 

شوف شرطة فلوريدا تصطاد التماسيح في الشوارع 

اترك تعليقاً إلغاء الرد

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

نشر حديثا

فيديو يوثق معاناة إنسانية مروعة في غزة أثناء توزيع المساعدات

فيديو يوثق معاناة إنسانية مروعة في غزة أثناء توزيع المساعدات

فاليو تقدم حلول مالية لمبادرة Learn to Earn لتأهيل شباب مصر لسوق العمل

فاليو تقدم حلول مالية لمبادرة Learn to Earn لتأهيل شباب مصر لسوق العمل

شوف شرطة فلوريدا تصطاد التماسيح في الشوارع 

شوف شرطة فلوريدا تصطاد التماسيح في الشوارع 

أبرز مشاهد مسلسل “كتالوج” بعد عرضه على نتفليكس

أبرز مشاهد مسلسل “كتالوج” بعد عرضه على نتفليكس

أمازون تقدم تخفيضات خاصة على منتجات الأزياء حتى 50%

أمازون تقدم تخفيضات خاصة على منتجات الأزياء حتى 50%

منصة اخبارية شامله , اقرء كل ما هو جديد من اخبار و موضوعات علي مدار اليوم
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت

جميع الحقوق محفوظة 2024 ميجا نيوز . مدعوم بواسطة 

الرئيسية

نشر حديثا

اتصل بنا

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
No Result
View All Result
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت

جميع الحقوق محفوظة 2024 ميجا نيوز . مدعوم بواسطة