حذرت تيكبامين من تهديدات إلكترونية خطيرة تستهدف أنظمة الأمن السيبراني عالمياً، حيث رصدت مجموعة "The Gentlemen" الإجرامية نشاطاً متزايداً يستخدم ثغرة CVE-2024-55591 في أنظمة FortiOS لاختراق آلاف الأجهزة.
ما هي مجموعة The Gentlemen وكيف تعمل؟
كشفت شركة Group-IB عن تفاصيل هذه المجموعة التي تضم حوالي 20 عضواً وتعمل كخدمة برمجيات فدية موجهة (RaaS). المجموعة ظهرت بعد نزاع مالي على منتدى RIPC الإجرامي، حيث اتهم مشغلها المُلقَّب "hastalamuerte" مشغلي برمجية Qilin بعدم دعم عمولات تبلغ 48 ألف دولار.
- استغلال ثغرة CVE-2024-55591 في أنظمة FortiOS/FortiProxy
- قاعدة بيانات تضم 14,700 جهاز FortiGate مُخترق بالفعل
- 969 اعتماد VPN تم الحصول عليها بالقوة الغاشمة
- استخدام تقنية BYOVD لتعطيل عمليات الأمن على مستوى النواة
وفقاً لـتيكبامين، هاجمت المجموعة 94 منظمة على الأقل منذ ظهورها في يوليو/أغسطس 2025.
ثغرات خطيرة في BMC FootPrints
في تطور آخر، تم الكشف عن أربع ثغرات أمنية في حلول إدارة خدمات تقنية المعلومات الشهيرة BMC FootPrints. هذه الثغرات يمكن ربطها لتنفيذ تعليمات برمجية عن بُعد دون الحاجة للمصادقة.
سلسلة الهجوم المُستخدمة
- CVE-2025-71257: تجاوز المصادقة لاستخراج رمز الضيف
- CVE-2025-71260: إلغاء تسلسل Java غير الآمن
- CVE-2025-71258 و CVE-2025-71259: ثغرات تزوير الطلبات من جانب الخادم
تبدأ سلسلة الهجوم بالحصول على رمز SEC_TOKEN من نقطة إعادة تعيين كلمة المرور، ثم استخدامه للوصول إلى معلم غير نظيف في نقطة النهاية "/aspnetconfig". يتيح ذلك كتابة ملفات عشوائية في دليل Tomcat، مما يحقق تنفيذ تعليمات برمجية كامل عن بُعد.
تهديد Hijack Loader وSnappyClient
رصد الباحثون استخدام برنامج Hijack Loader الخبيث لتوزيع إطار C2 جديد مكتوب بلغة C++ يُعرف باسم SnappyClient. هذا الإطار يتميز بقدرات قيادة وتحcontrol متقدمة.
تؤكد هذه التطورات ما ذكرته تيكبامين سابقاً بشأن تصاعد حدة الهجمات السيبرانية المعقدة التي تستهدف البنية التحتية الحيوية.
نصائح الأمن السيبراني
- تحديث أنظمة FortiOS فوراً إلى آخر إصدار
- تطبيق التصحيحات الأمنية لـ BMC FootPrints
- تفعيل المصادقة متعددة العوامل للوصول VPN
- مراقبة الأنشطة غير المعتادة على الشبكة
