Cyber Dojo

النهارده هنتكلم عن واحدة من أخطر الهجمات اللي حصلت الفترة اللي فاتت على SharePoint – الثغرة CVE-2025-53770 أو زي ما ناس كتير بتسميها ToolShell 🛠️💥

🔹 أولًا، إيه اللي حصل؟
هجوم متطور جدًا بيستهدف سيرفرات Microsoft SharePoint on-prem – الثغرة كانت zero-day وبتسمح بتنفيذ أوامر عن بُعد من غير ما الهاكر يقدّم credentials! يعني تخيّل RCE بدون Authentication! Microsoft طلعت Patch يوم 21 يوليو لكن الهجمات بدأت قبل كده بكتير.

🔹 ثانيًا، مين اللي ورا الهجوم؟
التقارير بتحكي عن involvement مباشر من تلات مجموعات APT مرتبطة بالصين 🇨🇳: Budworm (Linen Typhoon)، Sheathminer (Violet Typhoon)، وStorm-2603 (Warlock ransomware operators).

لكن الكارثة الأكبر إن Symantec أثبتت إن في أكتر من مجموعة صينية استخدمت ToolShell، وعلى أربع قارات كمان: أميركا الجنوبية، أفريقيا، الشرق الأوسط، وحتى أميركا نفسها.

🔹 ثالثًا، الهجوم كان ماشي ازاي؟
الهجوم مش بسيط. بيبدأ باستغلال الثغرة عشان ينزلوا Web Shell على SharePoint server، وبعدها تبدأ الـ chain:
- تحميل backdoor مكتوب بلغة Go اسمه Zingdoor
- تشغيل ShadowPad Trojan كـ modular RAT
- استخدام loader مكتوب بـ Rust اسمه KrustyLoader لتحميل Sliver C2 framework
- استخدام أدوات legit زي BitDefender وTrend Micro في DLL sideloading
- Dump للـ credentials باستخدام أدوات زي ProcDump وMinidump وLsassDumper
- وPetitPotam كمان لعشان يـ spoof NTLM requests وتسهيل privilege escalation
- يعني حرفيًا textbook example لاستخدام كل TTP ممكن في MITRE ATT&CK 📚🧠

🔹 رابعًا، ليه الموضوع خطير فعلًا؟
لأنهم استخدموا أدوات open-source زي Revsocks وCertutil وGoGo Scanner عشان يـ evade الـ detection. وكمان 46% من البيئات اللي اتهاجمت اتحل فيها passwords! نسبة مرعبة مقارنة بـ 25% السنة اللي فاتت 😨

🔹 خامسًا، إيه اللي لازم كل SOC يعمله؟
- أول حاجة: Apply the Patch فورًا لو عندك SharePoint on-prem!
- ثاني حاجة: راجع logs بتاعتك من أول يوليو خصوصًا على الـ web servers
- ثالث حاجة: Monitor لـ DLL side-loading وسلوكيات غريبة حوالين Lsass
- رابع حاجة: Use behavior-based detection مش بس signature-based، لأن أغلب الأدوات هنا legit!
- خامس حاجة: راجع السياسات بتاعت privileged account usage – لأن lateral movement كان واضح جدًا هنا

🔹 وأخيرًا، إيه الدروس اللي نتعلمها؟ 📘

- الZero-days مش رفاهية… threat actors بيستغلوها فعليًا، بسرعة وباحترافية
- الـ detection لازم يبقى multi-layered: من EDR لـ NDR لـ UEBA
- مفيش أداة سحرية، لكن correlation هو سلاحك الحقيقي
- لازم يبقى فيه خطة استجابة حقيقية لما تلاقي Web Shell غريب في SharePoint
- الPassword hygiene بقت شيء لازم يبقى مدفوع بـ policy وaudit مستمر مش awareness بس
Reference: https://www.security.com/blog-post/toolshell-china-zingdoor

🚀 ابدأ رحلتك كمحلل SOC محترف واستعد لتكون جزء من الدفاع الأمامي ضد التهديدات الإلكترونية!
اضغط هنا لمزيد من التفاصيل عن الSOC Analyst Bootcamp:
https://cyber-dojo.co/bundles/soc-analyst-bootcamp/
اضغط هنا لمزيد من التفاصيل عن Digital Forensics and Incident Response (DFIR) Bootcamp:
https://cyber-dojo.co/bundles/dfir-bootcamp/
للحجز والاستفسار: كلمنا فورًا عبر الواتساب:
https://api.whatsapp.com/message/EKDS6MXZOI3IO1