حملات تصيد (phishing) كتستهدف قطاعات فميريكان كتبين أهمية تحليل الـ sandbox ودمج استخبارات التهديدات

حملات تصيد (phishing) كتستهدف قطاعات فميريكان كتبين أهمية تحليل الـ sandbox ودمج استخبارات التهديدات

خلاصة: باحثين أمنيين كتاشفو حملة تصيد (phishing) ضد مؤسسات أمريكية فقطاعات بحال التعليم، الأبناك، الحكومة، التكنولوجيا، والصحة، لي يقدرو من خلالها يسرقو بيانات اعتماد، يآخدو رموز OTP، ولا يتبتو أدوات ديال التحكم عن بعد. الرصد المبكر باستعمال الـ sandboxes التفاعلية ودمج استخبارات التهديدات (threat intelligence) فجميع أدوات الحماية يقدر يسد الثغرات ديال التحقيق وينقص من التأخير فالاستجابة قبل ما يتحول الإختراق لتعطيل تام للخدمات.

شنو وقع

مؤخرا، واحد الحملة ديال تصيد (phishing) استهدفت مؤسسات أمريكية فقطاعات كتعتبر حساسة. هاد الهجوم استعمل دعوة مزيفة فيها تحقق ديال CAPTCHA وصفحات عندها علاقة بمناسبات باش يخفي السلسلة ديال التهديد. ملي الضحية كيكليكي، هاد الحملة كتقدر تسرق ليه بيانات الاعتماد، تشد رموز OTP، ولا تنزل أدوات شرعية ديال الإدارة عن بعد.

التحليل لي تدار باستعمال الـ sandbox التفاعلي ديال ANY.RUN كشف السلسلة الكاملة ديال الهجوم فظرف 40 ثانية، وبين عمليات التوجيه (redirects)، صفحات مزيفة ديال بيانات الاعتماد، التحميلات، ومؤشرات ديال ولوج محتمل عن بعد. الـ sandbox بيّن أنماط كتعاود فالصفحات ديال تصيد (phishing)، منها طلبات لـ /favicon.ico، /blocked.html، وموارد مخزنة فـ /Image/*.png. هاد الأنماط كتولي إشارات استخباراتية مهمة ملي كتم ربطها بالبنية التحتية الأوسع ديال الحملة.

هاد الواقعة كتبين تحول هيكلي فالخطر ديال تصيد (phishing). على عكس الهجمات القديمة لي كان ساهل احتواؤها، تصيد (phishing) ديال دابا كيخلق خطر متسلسل: سرقة بيانات اعتماد وحدة يقدر يحل البريد الإلكتروني، تطبيقات SaaS، منصات السحابة (cloud)، والأنظمة الداخلية. بعض الحملات ديال دابا ولات كتشد حتى الأكواد لي كتستعمل مرة وحدة، وهادشي كينقص من الفعالية ديال المصادقة متعددة العوامل (MFA).

علاش هادشي مهم

السرعة ديال رصد تصيد (phishing) كتاثر بشكل مباشر على احتواء الهجوم. ملي فراقي الـ SOC كيخدمو برؤية ناقصة على شنو كيدير داك الإيميل ديال تصيد (phishing) بالضبط، كيواجهو شكوك على شنو هي الحاجة لي تقاست، شكون خر مستهدف، وشحال وصلات الرقعة ديال الخطر. هاديك الفترة ديال الشك هي البلاصة فاش كيكبر الضرر فساحة العمل.

هاد الحملة كتوضح علاش فلترة الإيميلات التقليدية بوحدها ما كافياش. الصفحات ديال تصيد (phishing) تقدر تخبى ورا التفاعلات العادية ديال المستخدمين — بحال تحديات CAPTCHA، طلبات تسجيل الدخول، دعوات للأحداث، وأدوات معروفة — وهادشي كيخلي الإشارات اللولة تبان بحال يلا عادية حتى كيبان التسلسل الكامل ديال الهجوم.

بالنسبة للمدافعين فمنطقة الشرق الأوسط وشمال إفريقيا (MENA)، التأثير راه مباشر: حملات تصيد (phishing) غالبا كتخدم فمناطق وقطاعات مختلفة فنفس الوقت. أي حملة تم التحقق منها وفهم السياق ديالها عن طريق تحليل الـ sandbox واستخبارات التهديدات، كتقدر تعاون فتحديث قواعد الرصد (detection rules)، سياسات المنع (blocking policies)، وعمليات البحث (hunting queries) فجميع طبقات الحماية ديالك قبل ما توصل شي هجمة مشابهة للمؤسسة ديالك.

الأنظمة المتأثرة والـ CVEs

القطاعات المستهدفة فالحملة:

• التعليم
• الأبناك
• الحكومة
• التكنولوجيا
• الصحة

ماكاين تا CVE مخصص فهاد الوقت ديال النشر. التقرير ما كيهضرش على ثغرة (vulnerability) محددة فالتطبيقات؛ الهجوم كيعتمد على الهندسة الاجتماعية وسرقة بيانات الاعتماد.

شنو خاص يدار

• نشر sandboxes تفاعلية باش تحلل الإيميلات، المرفقات، والروابط المشبوهة بطريقة آمنة قبل ما يتفاعل معاها المستخدم.
• استعمال حلول ديال استخبارات التهديدات (threat intelligence) باش تحط الروابط المعزولة ديال تصيد (phishing) فالسياق ديال حملات كبر، وتعرف الأنماط لي كتعاود فالبنية التحتية ديالها.
• استخراج مؤشرات الاختراق (IOCs) المبنية على السلوك من التحليل ديال الـ sandbox الخاص بتصيد (phishing)، ودمجها فالـ SIEM، منصات استخبارات التهديدات، SOAR، أدوات رصد واستجابة الشبكة، والأسوار النارية (firewalls).
• تطبيق النتائج ديال استخبارات التهديدات فمسارات العمل ديال الرصد، المنع، الإثراء (enrichment)، والاستجابة باش تبين أي أنشطة مرتبطة فالبيئة ديالك.
• القيام بالبحث عن التهديدات فبيانات الإيميلات، الشبكة، الـ endpoints، الهوية، والسحابة باش تلقا مؤشرات عندها علاقة بنفس الحملة ديال تصيد (phishing).
• الانتقال من تحقيقات يدوية ومعزولة ديال التنبيهات الفردية لعمليات تحليل مترابطة لي كتحقق، كتوسع، وكتأكد من التهديدات قبل ما تنتشر.

أسئلة باقا مطروحة

• التقرير ما كيبينش شنو هي الإصدارات ديال أدوات التحكم عن بعد (RMM) الشرعية لي تم تنزيلها فالحملة ولا شنو هي الأدوات لي كانت مستهدفة.
• ماكاينش بيانات على شكون لي دار هادشي وما كاين تا تحديد ديال فاعل التهديد.
• ما تم الإعلان على سميات ديال حتى شي مؤسسات محددة لي طاحت ضحية.
• التقرير ما كيفصحش على شحال من مؤسسة تخترقات ولا شحال تعرضات لمحاولات فهاد الحملة.
• الذريعة المضبوطة ولا الموضوع ديال الدعوة لي تدارت باش يتصيدو بيها الأهداف ما مفصلش بوضوح.
• ما تمت الإشارة لتا شي CVE أو ثغرة محددة للقيام بالاستغلال أو تنزيل الـ حمولة (payload).

Source

How to Reduce Phishing Exposure Before It Turns into Business Disruption