Hackers are scanning MOVEit servers again
ارتفاع في المسح واستغلال ثغرات MOVEit Transfer ينذر بحملة هجمات جديدة ويستهدف أنظمة غير محدثة.
تصاعد التهديدات ضد MOVEit Transfer مع ارتفاع في نشاط المسح واستهداف الثغرات الأمنية
تحذير من GreyNoise
أصدرت شركة GreyNoise المتخصصة في استخبارات التهديدات تحذيرًا بشأن "ارتفاع ملحوظ" في نشاط المسح الذي يستهدف أنظمة MOVEit Transfer منذ 27 مايو 2025، ما يشير إلى احتمال استعداد المهاجمين لحملة استغلال واسعة أو بحثهم عن أنظمة غير محدثة.
ما هو MOVEit Transfer؟
MOVEit Transfer هو حل شائع لإدارة نقل الملفات يُستخدم من قبل الشركات والهيئات الحكومية لنقل البيانات الحساسة بأمان، ما يجعله هدفًا مغريًا للمهاجمين السيبرانيين.
مؤشرات تصاعد النشاط
- قبل 27 مايو: أقل من 10 عناوين IP فريدة يوميًا.
- 27 مايو: قفز العدد إلى أكثر من 100 عنوان IP.
- 28 مايو: رُصد 319 عنوان IP.
- منذ ذلك الحين: يتراوح النشاط بين 200 و300 عنوان IP يوميًا.
إحصائيات IPs المشتبه بها
- 682 عنوان IP فريد خلال 90 يومًا.
- 449 عنوان خلال آخر 24 ساعة.
- 344 عنوان صنف كمشبوه، و77 كمؤذٍ.
توزيع جغرافي لعناوين IP
- الولايات المتحدة
- ألمانيا
- اليابان
- سنغافورة
- البرازيل
- هولندا
- كوريا الجنوبية
- هونغ كونغ
- إندونيسيا
ثغرات يتم استغلالها
في 12 يونيو 2025، تم رصد محاولات استغلال منخفضة الحجم لثغرتين معروفتين في MOVEit Transfer (CVE-2023-34362 وCVE-2023-36934). ويُذكر أن الأولى تم استغلالها في حملة من قبل مجموعة فدية Cl0p عام 2023 وأثرت على أكثر من 2,770 جهة.
توصيات أمنية
- حظر عناوين IP المشبوهة أو المؤذية فورًا.
- التأكد من تحديث البرنامج لأحدث إصدار.
- تجنب تعريض أنظمة MOVEit Transfer للعامة عبر الإنترنت.