MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Cyber Security

DragonForce Exploits SimpleHelp Flaws to Deploy Ransomware Across Customer Endpoints


مجموعة DragonForce تستغل ثغرات SimpleHelp لنشر برامج الفدية عبر أجهزة العملاء

حصلت مجموعة التهديد DragonForce على وصول إلى أداة SimpleHelp الخاصة بمزود خدمات مُدار (MSP) لم يُذكر اسمه، واستغلتها في سرقة البيانات ونشر برامج الفدية على عدد من أجهزة المستخدمين.

يُعتقد أن المهاجمين استغلوا ثلاث ثغرات أمنية في SimpleHelp (CVE-2024-57727، CVE-2024-57728، CVE-2024-57726) والتي تم الكشف عنها في يناير 2025، بحسب تحليل شركة Sophos.

تم تنبيه شركة Sophos إلى الحادث بعد اكتشاف تثبيت مشبوه لملف SimpleHelp تم دفعه عبر أداة RMM حقيقية يتم تشغيلها من قِبل المزود لعملائه.

استخدم المهاجمون وصولهم عبر أداة RMM الخاصة بالمزود لجمع معلومات من بيئات عملاء متعددة، مثل أسماء الأجهزة، التكوينات، المستخدمين، والاتصالات الشبكية.

رغم أن أحد العملاء تمكن من إيقاف وصول المهاجمين، إلا أن العديد من العملاء الآخرين تأثروا بسرقة البيانات وهجمات برامج الفدية، ما أدى إلى هجمات ابتزاز مزدوجة.

هجوم سلاسل التوريد عبر MSP

يسلط هذا الهجوم الضوء على تطور تقنيات DragonForce، التي أصبحت من الخيارات المربحة للمهاجمين التابعين عبر نموذج مشاركة الأرباح.

التحول إلى كارتل فدية

في الأشهر الأخيرة، بدأت DragonForce تتبنى نموذج كارتل جديد، يسمح للمهاجمين بإطلاق نسخهم الخاصة من برنامج الفدية تحت تسميات مختلفة.

ظهر هذا التحول تزامنًا مع استيلاء عدائي على مواقع تسريب البيانات الخاصة بمجموعتي BlackLock وMamona، وأيضًا ما يُعتقد أنه استحواذ على مجموعة RansomHub بعد انهيار LockBit وBlackCat في عام 2024.

علاقة بـ Scattered Spider

بحسب شركة Cyberint، تشير الأدلة إلى أن مجموعة Scattered Spider لعبت دورًا أساسيًا في تمكين بعض هجمات DragonForce. تشتهر هذه المجموعة بأساليبها المعتمدة على السحابة وهجمات الهندسة الاجتماعية.

Scattered Spider تُعتبر جزءًا من شبكة أوسع تُعرف باسم The Com، والتي تفتقر إلى الوضوح بشأن كيفية تجنيد أعضائها الشباب من الولايات المتحدة والمملكة المتحدة رغم تنفيذ بعض الاعتقالات في عام 2024.

ساحة قتال متغيرة بين المجموعات

تشير هذه التطورات إلى بيئة متغيرة تتسم بتفكك المجموعات، وانخفاض ولاء التابعين، وزيادة استخدام الذكاء الاصطناعي في تطوير البرمجيات الخبيثة.

صرّح الباحث الأمني في Sophos، "آيدن سينوت": "DragonForce ليست مجرد علامة جديدة لبرامج الفدية، بل هي قوة مزعزعة تحاول إعادة تشكيل المشهد بالكامل."

وأضاف: "رغم أن DragonForce استحوذت على العناوين الرئيسية بعد هجماتها على قطاع التجزئة البريطاني، هناك صراع خلف الكواليس بينها وبين مجموعات مثل RansomHub للهيمنة على هذا المجال."

تداعيات ما بعد LockBit

عانت مجموعة LockBit من ضربة قوية بعد تفكيك بنيتها التحتية ضمن عملية دولية تُعرف باسم Operation Cronos. وبعد أن أعادت بناء نفسها جزئيًا، تعرضت لضربة جديدة عندما تم تسريب قاعدة بيانات تحتوي على محادثات تفاوض، برمجيات مخصصة، وأدوات إدارة الهجمات الخاصة بها.

أظهر التسريب أن LockBit منظمة بشكل كبير، مع اعتماد كبير على التابعين في تخصيص الهجمات، وطلب الفدية، والتفاوض مع الضحايا.

تقنيات جديدة لهجمات الفدية

في تطور آخر، تستخدم مجموعات مثل 3AM أسلوبًا مزدوجًا من قصف البريد الإلكتروني وهجمات الاتصال الصوتي (vishing) للتظاهر بأنها دعم فني، وخداع الموظفين لمنحهم صلاحية الوصول عن بُعد باستخدام Microsoft Quick Assist.

ثم يتم استغلال هذا الوصول لنشر برمجيات إضافية، من بينها باب خلفي يسمى QDoor، والذي يمنح المهاجمين نقطة ارتكاز في الشبكة دون إثارة الشبهات.

قال الباحث في Sophos، "شون غالاغر": "استغلال قصف البريد الإلكتروني مع vishing لا يزال فعالًا للغاية، ومجموعة 3AM تستخدم الآن التشفير عن بُعد للبقاء خارج نطاق أدوات الحماية التقليدية."

التوصيات الأمنية

  • رفع وعي الموظفين وتدريبهم على كشف محاولات الهندسة الاجتماعية
  • تقييد الوصول عن بُعد للأجهزة التي لا تحتاجه
  • منع تنفيذ الآلات الافتراضية وبرمجيات التحكم عن بعد غير المصرح بها
  • حظر كل حركة مرور الشبكة المتعلقة بالتحكم عن بعد إلا من الأجهزة المصرح لها فقط