استمع إلى المقال

هل تشعر بالأمان عندما تستخدم هاتفك أو حاسوبك أو طابعتك المتصلة بالإنترنت، ربما من الأفضل ألاّ تفعل ذلك، ففي عالمنا المتصل بالإنترنت، لا شيء محصن من خطر الاختراق واستغلال الثغرات الأمنية.

الاختراق واستغلال الثغرات الأمنية هما وجهان لعملة واحدة، فالأول يستهدف نظاما محددا أو شبكة معينة، بينما الثاني يستغل خطأ أو نقصا في برنامج أو تطبيق.

لكن في كلتا الحالتين، فإن الهدف هو واحد؛ وهو سرقة المعلومات أو التسبب في الضرر، لذا سنستعرض معا؛ أحدث الحالات في عالم الاختراق، وهي استهداف برنامج “PaperCut” من قبل قراصنة روس، وما الهدف من هذا الاستهداف وبعض التفاصيل الاخرى.

قد يهمك: معدات “سيسكو” مفضّلة للمخترقين الروس.. تحذيرات متصاعدة

استغلال برامج الطابعات

قبل يومين، وعبر موقعها الرسمي، قالت شركة “PaperCut“، وهي خدمة لإدارة الطباعة؛ تساعد المستخدمين على تقليل الهدر وتحسين الأمان والاستدامة عند الطباعة، إن لديها أدلة تشير إلى أنه يتم استغلال خوادمها غير المحدثة على نطاق واسع، مستشهدة بتقريرين عن الثغرات الأمنية من شركة الأمن السيبراني “Trend Micro” اليابانية.

“PaperCut” أشارت، إلى أنها قامت بتحليل جميع تقارير العملاء، وتم الكشف عن نشاط مشبوه على خادم عميل في 14 نيسان/أبريل الجاري، ما يوحي بأنه قد يكون مرتبطا بهذه الثغرة الأمنية.

في الوقت نفسه، قامت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA)، بإضافة خلل خطير (CVE-2023-27350، درجة CVSS – 9.8)، إلى دليل نقاط الضعف المستغلة المعروفة بـ (KEV)، بناء على أدلة الاستغلال النشط.

تحذيرات أمنية بسبب قراصنة روس

شركة “Huntress” الأميركية المتخصصة في الأمن السيبراني، حذرت من حملة هجوم جديدة تستهدف خوادم “PaperCut” المعرضة للإنترنت من قبل قراصنة روس، ووفقا للشركة، فقد اكتشفت نحو 1800 خادم مصاب بأوامر “PowerShell” ضارة. تقوم هذه الأوامر بتثبيت أدوات للإدارة عن بعد والصيانة مثل “Atera” و”Syncro”، والتي تسمح للمهاجمين بالوصول المستمر وتنفيذ الكود على الأجهزة المستهدفة.

عند تحليل البنية التحتية التي تستضيف هذه الأدوات، اكتشف باحثو “Huntress” أن المجال المستخدم في الهجوم تم تسجيله في 12 نيسان/أبريل 2023، وأنه يضم أيضا برامج ضارة أخرى مثل “TrueBot”.

هذا البرنامج الضار يعمل كبرنامج لتحميل وتشغيل برامج ضارة إضافية على الأجهزة المصابة، كما يقوم بإرسال معلومات عن النظام والشبكة إلى خادم التحكم والقيادة الخاص بالمهاجم.

“TrueBot” بحسب الشركة، يرتبط بمجموعة إجرامية روسية تعرف باسم “Silence”، التي لديها صلات تاريخية مع مجموعة “Evil”، وهي المجموعة المسؤولة عن برامج ضارة مشهورة مثل “Dridex” للتحكم في الحسابات المصرفية و”Locky” لتشفير الملفات وطلب فدية، كما استخدمت مجموعة ” Evil ” برامج ضارة أخرى مثل “BitPaymer” و”WastedLocker” و”Hades ransomware”.

مجموعة ” Evil” تستهدف شركات ومؤسسات مالية وحكومية في عدة دول، وقد تعرضت لعقوبات من قبل الولايات المتحدة والمملكة المتحدة، وتستخدم طرق مختلفة لإيصال برامجها الضارة، سواء عبر رسائل إلكترونية ضارة أو استغلال ثغرات أمنية في بعض البرامج أو استخدام برامج ضارة أخرى كطريق دخول إلى الشبكات.

باحثو “Huntress”، أشاروا بأنهم حتى الآن لا يعرفون ما هو الهدف النهائي من هذا النشاط الذي يستغل “PaperCut”.

قد يهمك: فيروس الفدية “ميدوسا” يضرب من جديد.. الهدف “مايكروسوفت”؟

الوقاية خير من العلاج

في ضوء ما تم ذكره، ننصح المستخدمين والشركات بتحديث برنامج “PaperCut” وأي برنامج متصل بالإنترنت بانتظام وتأمينه بشكل مناسب لمنع هجمات البرامج الضارة.

كما ننصحهم بعدم فتح أي رسائل إلكترونية أو ملفات مشبوهة أو غير موثوق بها، واستخدام برامج مضادة للفيروسات والبرامج الضارة، فالوقاية خير من العلاج.