في الفترة ما بين أغسطس وأكتوبر 2025، رصدت IBM X-Force عدة رسائل بريد إلكتروني تستهدف على الأرجح أفرادًا كولومبيين يتحدثون الإسبانية بمواضيع تتعلق بمكتب المدعي العام في كولومبيا. تدفع رسائل البريد الإلكتروني هذه المستخدم إلى تنزيل "مستند رسمي" من نظام المعلومات القضائية، ما يبدأ عملية الإصابة المتمثلة في تنفيذ محمل تنفيذي من نوع Hijackloader يؤدي إلى PureHVNC ، وهو حصان طروادة خاص بالوصول عن بُعد (RAT).
في الفترة ما بين أغسطس وأكتوبر 2025، رصدت X-Force عدة رسائل بريد إلكتروني تستهدف مستخدمين مقيمين على الأرجح في كولومبيا برسائل بريد إلكتروني تنتحل صفة مكتب المدعي العام الكولومبي وتتضمن مستندات رسمية للتنزيل. تهدف رسائل البريد الإلكتروني إلى استخدام Hijackloader لنشر العديد من الحمولات، بما في ذلك PureHVNC. لم يُستخدم Hijackloader نفسه على نطاق واسع في الحملات التي تستهدف المستخدمين في أمريكا اللاتينية (LATAM)، ولم ترصد X-Force في السابق أية حملات تستهدف مستخدمي أمريكا اللاتينية لنشر PureHVNC. في عام 2024، وردت تفاصيل عن استخدام Hijackloader لتحميل RemcosRAT في حملات استهدفت عملاء CrowdStrike، وهم على الأرجح من دول أمريكا اللاتينية (استنادًا إلى أن أسماء الملفات والتعليمات باللغة الإسبانية). يُعد نشر PureHVNC RAT مثيرًا للاهتمام نظرًا إلى أن X-Force لم ترصد في السابق أية حملات نُشر فيها PureHVNC لدى مستخدمين ناطقين بالإسبانية. يُعد PureHVNC RAT جزءًا من مجموعة الأدوات التي تبيعها PureCoder. الأدوات الخبيثة معروضة للبيع الفوري على الشبكة الخفية في المنتديات السرية، وكذلك على Telegram.
يُرسل إلى المستخدمين رسالة بريد إلكتروني تزعم أنها مراسلة رسمية صادرة عن مكتب المدعي العام في كولومبيا. تفيد رسالة البريد الإلكتروني بأن هناك دعوى قضائية رفعها موظف سابق، ويجري النظر فيها أمام المحاكم العمالية. ويُرفق ملف SVG برسالة البريد الإلكتروني، والذي يفتحه الضحية في Google Drive. في معظم الحالات، تظهر معاينة المستند ويكون جاهزًا للتنزيل من خلال النقر فوق زر التنزيل. في إحدى الحالات، ظهرت للضحية رسالة "تعذّرت معاينة الملف" مع وجود زر التنزيل، والذي فتح الملف في Google Drive. وعلى كلٍ، في أثناء التواجد في Google Drive، سيؤدي النقر فوق أي مكان في المستند إلى تنزيل ملف أرشيف ZIP، وستظهر للضحية عندئذٍ صفحة "اكتمل التنزيل" تحتوي على كلمة مرور مثل "KC4SX87". يحتوي ملف ZIP على عدة ملفات إضافية، أحدها ملف تنفيذي يحتاج المستخدم إلى كلمة المرور من أجل تنفيذه عند النقر عليه. سيؤدي النقر فوق ملف EXE إلى بدء عملية الإصابة، حيث يُستخدم Hijackloader لنشر عدة حمولات مختلفة، بما في ذلك PureHVNC.
البرنامج الضار المرحلة الأولى: التحميل الجانبي لملفات DLL
يستخدم Hijackloader تقنية تسمى التحميل الجانبي لملفات DLL، والتي تستغل ترتيب البحث الذي يستخدمه Windows لتحديد موقع المكتبات المطلوبة لتنفيذ ملف DLL خبيث. يستخدم Hijackloader ملف javaw.exe شرعيًاأُعيدت تسميته باسم يحمل طابعًا قضائيًا (02 BOLETA FISCAL.exe). ونظرًا إلى أن أحد تبعيات javaw.exe هو JLI.dll، يضع Hijackloader نسخة معدلة من JLI.dll في المجلد نفسه. عند تشغيل javaw.exe المعاد تسميته، يُحمّل نظام التشغيل أيضًا ملف DLL الخبيث من المجلد المحلي.
تتمثل الوظيفة الأساسية لملف JLI.dll الخبيث في تحميل حمولة المرحلة الثانية، MSTH7EN.dll. ويُجرى ذلك عن طريق استدعاء واجهة برمجة التطبيقات LoadLibraryW() ، والتي تُحمّل MSTH7EN.dll في مساحة عنوان العملية. يُعيد استدعاء واجهة برمجة التطبيقات عنوان الصورة الأساسي لملف DLL المحمل حديثًا. ثم يُضاف هذا العنوان إلى قيمة تعويض محددة لحساب نقطة دخول الكود الخبيث في MSTH7EN.dll.
البرنامج الضار المرحلة الثانية: مرحلة التحميل
تبدأ حمولة المرحلة الثانية بالتهيئة. ولتجنب الرصد، تحمل جميع المكتبات وواجهات برمجة التطبيقات الضرورية وتعالجها ديناميكيًا. وبمجرد اكتمال العملية، تتحقق من أن مجلد العمل الحالي يتطابق مع موقع Hijackloader، ما يضمن إمكانية الرجوع إلى حمولة المرحلة الثالثة وتحميلها بشكل صحيح.
تحتوي حمولة المرحلة الثالثة على تكوين برنامج ضار مشفر يتضمن العناصر التالية:
عند فك التشفير، يحتوي تكوين البرنامج الضار على معلومات، مثل ما يلي:
يُحمل كود shellcode بعد ذلك في vssapi.dll، وهو ملف DLL المحدد في تكوين البرنامج الضار. ويُجرى ذلك عن طريق استدعاء VirtualProtect() لتغيير حماية الذاكرة لقسم .text في ملف DLL إلى PAGE_EXECUTE_READWRITE. وأخيرًا، يُنسخ كود shellcode إلى هذا العنوان القابل للكتابة، ويُنقل مسار التنفيذ إليه.
يعمل كود shellcode كمحمل، ولكن أولاً، يعمل على تجزئة أسماء العمليات الجارية في النظام ومقارنتها بالقيم المحددة في تكوين البرنامج الضار. إذا عُثر على تطابق، يستخدم البرنامج الضار واجهة برمجة التطبيقات NtDelayExecution() لإيقاف تنفيذها.
بعد ذلك، يقرأ محتوى Plagkeg.zk. محتوى هذا الملف هو تكوين برنامج ضار آخر مشفر ووحدات HijackLoader. تُقسم البيانات إلى أجزاء متعددة، حيث يحتوي الجزء الأولي على المعلومات التالية:
تتبع الأجزاء التالية هذه البنية:
ولتجميع هذه الأجزاء، يمر HijackLoader عبر البيانات المشفرة بحثًا عن نمط "????IDAT"، حيث تعمل علامات الاستفهام كأحرف بدل. وبمجرد العثور على تطابق، يتحقق ما إذا كانت وحدات البايت الأربع التي تلي النمط مباشرةً تساوي 0xC6A579EA. ويؤكد هذا أنه قد عُثر على الجزء الأولي، وهو أمر مهم لأنه يحتوي على الحجم الإجمالي لكود shellcode ومفتاح فك التشفير. إذا تطابقت القيمة، يخزن HijackLoader وحدات بايت كود shellcode في مخزن مؤقت. وتتكرر العملية مع جميع الأجزاء اللاحقة، مع إلحاق وحدات بايت كود shellcode الخاصة بها بالمخزن المؤقت نفسه، حتى عدم العثور على المزيد من الأنماط المطابقة.
وبمجرد الانتهاء، يُفك تشفير المخزن المؤقت الذي يحتوي على كود shellcode المشفر باستخدام شفرة XOR ثم يُفك ضغطه باستخدام خوارزمية LZNT1. والنتيجة هي بنية تحتوي على معلومات متنوعة، مثل الحمولة النهائية، وبنية الوحدة، وما إلى ذلك.
البرنامج الضار المرحلة الثالثة: ti64 - الوحدة الرئيسية
تنقسم وظائف HijackLoader إلى وحدات. يحتوي بعضها على أكواد تنفيذية، بينما البعض الآخر هي مجرد معلومات مستخدمة كمرجع. مثال على ذلك هو وحدة COPYLIST ، والتي تحتوي على قائمة بأسماء الملفات المتعلقة بهذا الإصدار من HijackLoader. وفقًا لتقرير Trellix، تدعم بعض إصدارات HijackLoader ما يصل إلى 40 وحدة، لكن العينة التي جرى تحليلها لهذا التقرير تدعم 35 فقط. لا تُنفذ جميع الوحدات، ويعتمد استخدامها على العلامات المحددة في تكوين البرنامج الضار.
يلخص الجدول أدناه اسم كل وحدة والغرض منها:
يمر HijackLoader عبر هذه البُنى ويحول كل اسم وحدة إلى تجزئة باستخدام خوارزمية مخصصة. بمجرد العثور على تطابق الوحدة "ti64"، فإنه يحسب مؤشرًا لكود الوحدة عن طريق إضافة قيمة تعويض البيانات إلى قاعدة مصفوفة بيانات الوحدة. ثم يُعاد هذا المؤشر ويُستخدم كمرجع لكود shellcode الخاص بالوحدة "ti64".
بعد ذلك، ينفذ البرنامج الضار عملية تفريغ DLL أخرى لحقن كود shellcode الخاص بوحدة "ti64". والهدف هو ملف DLL المحدد في التكوين الذي سبق فك تشفيره، وهو في هذه الحالة pla.dll.
اسم الوحدة
التجزئة
الغرض
AVDATA
0x78B783CA
يحتوي على تجزئات العمليات المتعلقة بالمنتجات الأمنية
ESAL
0x757C9405
يمسح بيانات hijackloader الموجودة في الذاكرة وينفذ الحمولة النهائية
ESLDR
0xE7794E15
يُستخدم لحقن وتنفيذ كود shellcode الخاص بالمحمل HijackLoader
ESWR
0x93EB1CB1
يمسح بيانات shellcode وينفذ وحدة rshell
FIXED
0x699D0C82
ملف PE شرعي يُستخدم لحقن الكود في عمليته
LauncherLdr64
0xF4F141C2
يفك تشفير ملفات التكوين المخزنة على القرص
modCreateProcess
0x696F778F
يُستخدم لتنفيذ ملف
modTask
0x3115355E
يُنشئ الاستمرارية باستخدام مهمة مجدولة
modUAC
0xC64EBFDA
يُستخدم لزيادة الامتيازات
modWriteFile
0xFCE82FC1
يتعامل مع إنشاء الملفات على القرص
rshell
rshell64
0x74984889
ينفذ الحمولة النهائية
ti
ti64
0x3EE477F1
يعمل بمثابة كود shellcode الرئيسي الذي يُنفذ جميع الوحدات الأخرى
TinyCallProxy
0x455CBBC3
يعمل كوكيل لتنفيذ استدعاءات واجهة برمجة التطبيقات
tinystub
0x4EACE798
يحتوي على ملف تنفيذي وهمي، يُستخدم للتحديث في أثناء عملية تنفيذ الحمولة النهائية
tinyutilitymodule.dll
0xA1D724FC
يستبدل رؤوس PE الخاصة بملف محدد بوحدات البايت الفارغة
SM
0xD8222145
يحتوي على اسم ملف DLL بالنظام والمستخدم في تزييف مجموعة الاستدعاءات أو حقن كود shellcode
COPYLIST
0x1AE7700A
قائمة بأسماء الملفات المراد نسخها أو حذفها
CUSTOMINJECT
0x6703F815
يحتوي على ملف تنفيذي شرعي يُستخدم لحقن كود في ذاكرة عمليته. تُنشأ العملية في مسار مخصص تحدده الوحدة CUSTOMINJECTPATH
CUSTOMINJECTPATH
0x192A4446
يحتوي على مسار ملف يُستخدم لإنشاء الملف الشرعي في الوحدة CUSTOMINJECT
X64L
0xCB5B9F3F
هي الوحدة التي تُحقن في عملية لتكون بمثابة وكيل حقن
WDUACDATA
0x4D75088D
يحتوي على السلسلة المستخدمة لتنفيذ الأوامر عبر cmd
WDDATA
0xB718A6AE
يحتوي على أمر PowerShell لإضافة استثناء في برنامج Windows Defender لمكافحة الفيروسات
PERSDATA
0xA2E0AB5D
يحتوي على التكوين الذي تستخدمه الوحدة modTask لإنشاء مهام مجدولة
MUTEX
0x1999709F
يحتوي على اسم كائن الاستبعاد المتبادل المراد فحصه
تستخدم الوحدة modUAC، على غرار الوحدات الأخرى، TinycallProxy لاستدعاء واجهات برمجة التطبيقات. إذا كانت قيمة DWord الأولى من وحدة UACDATA هي 2، فإنه يستخدم "Runas" لزيادة امتيازاته. وإلا يستخدم واجهة CMSTPLUA COM لتخطي UAC.
في بعض الإصدارات، يستخدم HijackLoader تقنية تُسمى "تزييف المجموعة" لإخفاء مصدر استدعاءات واجهة برمجة التطبيقات واستدعاءات النظام. ويفعل ذلك باستخدام سجل المؤشر الأساسي (EBP) للتنقل في المجموعة، متبعًا سلسلة مؤشرات EBP لاسترجاع عنوان الإرجاع من كل إطار مجموعة. إذا لم يكن عنوان الإرجاع موجودًا ضمن قسم .text من الملف ntdll.dll أو kernelbase.dll، يخزنه HijackLoader لاستخدامه لاحقًا. تتكرر هذه العملية حتى الوصول إلى الحد الأقصى للمجموعة أو حتى العثور على ثلاثة عناوين إرجاع متتالية داخل مكتبات النظام تلك.
بعد ذلك، يعمل على تزييف مجموعة الاستدعاءات عن طريق استبدال العناوين المحفوظة والشرعية بعناوين وهمية. يُنشأ كل عنوان وهمي عن طريق تحديد تصدير عشوائي من ملف DLL تحدده الوحدة SM (في هذه الحالة، dcd9.dll) وإضافة قيمة تعويض عشوائية، ما يضمن أن المؤشر النهائي يقع داخل قسم .text الخاص بتلك الوحدة. ثم يُستخدم Heaven’s Gate لاستدعاء النظام. وفور إتمام الاستدعاء، تُستعاد عناوين المجموعة الأصلية.
أما الإصدارات الأحدث فتستخدم تقنية مختلفة. بدلاً من تزييف المجموعة، يحمل HijackLoader ملف DLL المستهدف الذي حددته وحدة SM عبر LoadLibraryW(). ثم يحفظ الكود من تعويض عشوائي داخل ملف DLL هذا في مخزن مؤقت ويستبدله بكود shellcode الخاص بوحدة TinyCallProxy64 ، والمصمم لاستدعاء واجهة برمجة التطبيقات المحددة. وبمجرد الانتهاء من الاستدعاء، يُستعاد الكود الأصلي النظيف.
يستخدم HijackLoader هذه التقنيات لعدد محدد من الدوال التي من المحتمل أن ترصدها برامج مكافحة الفيروسات، مثل ZwProtectVirtualMemory و ZwGetContextThread.
التقنية
الوصف
فحص مكافحة تصحيح الأخطاء المستند إلى الوقت
يستخدم تقنية التهرب المستندة إلى الوقت من خلال قياس زمن الانتقال الخاص بتعليمات cpuid. ويغلف استدعاء cpuid بتعليمات rdtsc داخل حلقة، وإذا تجاوزت مدة التنفيذ حدًا معينًا، فإنه يكتشف وجود مصحح أخطاء أو جهاز افتراضي.
فحص Hypervisor
يُجري فحصًا قياسيًا مضادًا للأجهزة الافتراضية عن طريق تنفيذ تعليمات cpuid والتحقق من "بت Hypervisor" (البت 31) في سجل ECX المُعاد. إذا كانت قيمة هذا البت تساوي 1، فذلك يشير إلى وجود Hypervisor.
فحص معرّف المورد
يُجري فحصًا مضادًا للأجهزة الافتراضية بالاستعلام عن صفحة معلومات hypervisor (0x40000000). تشير القيمة المرجعة في EAX والتي هي أكبر من أو تساوي 0x40000000 إلى وجود أوراق CPUID نشطة تخص hypervisor.
فحص إجمالي ذاكرة الوصول العشوائي (RAM)
يُجري فحصًا مضادًا لآلية تحديد الوصول عن طريق الاستعلام عن إجمالي ذاكرة الوصول العشوائي الفعلية. ويستدعي NtQuerySystemInformation لحساب إجمالي حجم الذاكرة بالجيجابايت (عن طريق تحويل عدد البايتات إلى اليمين بمقدار 30 بت) ويُنهي العملية إذا كانت النتيجة أقل من 4 جيجابايت.
فحص عدد المعالجات
يُجري فحصًا مضادًا لآلية تحديد الوصول عن طريق الاستعلام عن عدد أنوية وحدة المعالجة المركزية. ويستدعي NtQuerySystemInformation للحصول على NumberOfProcessors ويقارنه بالقيمة المحددة في تكوين الوحدة ANTIVM.
فحص اسم المستخدم
يقارن اسم المستخدم الحالي بالقيمة المحددة في الوحدة ANTIVM.
فحص اسم الكمبيوتر
يتحقق مما إذا كان اسم الكمبيوتر يتكون من أرقام فقط.
فحص مجلد العمل الحالي
يتحقق مما إذا كان مسار الوحدة الحالي موجودًا على سطح المكتب.
يؤدي فشل الفحص المضاد للمحاكاة الافتراضية إلى إنهاء العملية عبر استدعاء ZwTerminateProcess().
يقارن إجراء فك الارتباط قسم .text في ملف ntdll.dll الذي جرى تحميله حاليًا بنسخة نظيفة معينة. ويبحث عن تعليمات الاستدعاء (0xE8) وjmp (0xE9) ويكتشف الارتباط إذا كان نوع التعليمات أو عنوان الوجهة مختلفًا بين النسختين. في حال العثور على ارتباط، يُحدّث البرنامج الضار ملف ntdll.dll المخزن في الذاكرة عن طريق استعادة وحدات البايت الأصلية النظيفة.
يمكن التحكم أيضًا في آلية استمرارية HijackLoader من خلال تكوينه. يُحدد السلوك بالعلامات التالية:
بالإضافة إلى هذه العلامات، يمكن أن يُنشئ HijackLoader آلية استمرارية أخرى عن طريق التحقق من وحدة PERSDATA . تحتوي هذه الوحدة على بيانات التكوين الضرورية، مثل اسم المهمة، لإنشاء مهمة مجدولة ثانية.
نوع الحقن
الوصف
إذا كان الملف المراد حقنه هو ملف DLL أو كانت علامات الحقن أقل من 0x3
فستُنفذ الحمولة النهائية ضمن العملية نفسها، ولذلك ستُحدد حمولة DLL في ملف DLL المفرغ.
إذا لم تكن الحمولة النهائية ملف .NET/CLR، فستكون علامات الحقن 0x20 خاطئة و0x80 صحيحة
يخفي حمولة rshell في ملف tinystub PE مزيف باستخدام معاملة NTFS مستردة. ثم يُعيّن ملف PE المخفي هذا في عملية معلقة (FIXED)، حيث تخترق وحدة ESWR سياق السلسلة الرئيسية لتنفيذ الكود rshell.
إذا لم تكن الحمولة النهائية ملف .NET/CLR، فستكون كلٌّ من علامتي الحقن 0x20 و0x80 خاطئتين
تُرسل الوحدة FIXED إلى القرص وتُنشأ كعملية معلقة. ثم تُستخدم الوحدة ESWR لبدء تنفيذ حمولة rshell ضمن العملية FIXED .
تُعيّن علامات الحقن 0x100 على أنها صحيحة و 0x20 على أنها خاطئة
يحقن rshell في ملف نظام شرعي تنفيذي معلق (على سبيل المثال، MSBuild.exe) يُحدد موقعه عن طريق تحليل رأس .NET لمعرفة مسار CLR. تُحدّث الحمولة في الذاكرة قبل تنفيذها عبر اختراق سياق السلسة ومسح رؤوس PE الخاصة بها.
كلاً من علامتي الحقن 0x4 و0x80 تُعد صحيحتين.
يرسل الوحدة FIXED بشكل مشروط، ثم يخزن حمولة rshell في ملف معاد معاملات مسترد (tinystub). ويحقنها في عملية FIXED المعلقة عبر تعيين الأقسام. يبدأ التنفيذ من خلال اختراق سياق السلسلة، متبوعًا بمسح رأس PE الخاص به اختياريًا.
تُعد علامة الحقن 0x4 صحيحة و0x80 تُعد خاطئة.
يشغل HijackLoader عملية معلقة، ويُنشئ قسمًا جديدًا من الذاكرة داخلها ويعينه مباشرةً، ثم يكتب الوحدة rshell المحدثة في هذا القسم. يبدأ التنفيذ عن طريق اختراق سياق السلسلة الرئيسية لتشغيل كود rshell.
تُعد علامة الحقن 0x4 خاطئة و0x10 تُعد صحيحة.
ينفذ عملية التفريغ عن طريق تشغيل الوحدة FIXED، ومسح قسم الذاكرة الرئيسية بها، ثم نسخ الحمولة. يكتب الرأس "MZ" في عمليتي استدعاء منفصلتين. وأخيرًا، يحقن وحدة rshell المحدثة، ويُعدل PEB، ويمحو رأس PE الخاص بالحمولة اختياريًا.
تعيين نوع الحقن على 4
يحقن الحمولة الرئيسية ووحدة rshell عبر تعيين الأقسام. يُنشأ قسم ويُملأ محليًا باستخدام وحدة rshell المحدثة والحمولة، ثم يُعيّن في عملية مستهدفة معلقة (سواء ملف نظام ثنائي أصلي أو وحدة CUSTOMINJECT). يبدأ التنفيذ عن طريق اختراق سياق السلسلة الرئيسية للإشارة إلى نقطة دخول rshell.
أصبح المستخدمون في مناطق أمريكا اللاتينية أهدافًا بشكل متزايد لرسائل البريد الإلكتروني التي تنتحل صفة الجهات الحكومية أو الهيئات القضائية، والتي يغلب عليها طابعًا يوحي بالعجلة. ترصد X-Force حملات تنطوي بشكل روتيني على روابط مضمنة أو مرفقات ZIP تقود الضحايا إلى برامج تنزيل خبيثة. في الفترة ما بين أغسطس وأكتوبر 2025، رصدت X-Force عدة رسائل بريد إلكتروني تستهدف مستخدمين مقيمين على الأرجح في كولومبيا برسائل بريد إلكتروني تنتحل صفة مكتب المدعي العام الكولومبي وتتضمن مستندات رسمية للتنزيل. Hijackloader هو برنامج ضار معياري مزود بآليات تهرب واستمرارية، يُرسل بشكل أساسي للمستخدمين كملف أرشيف ZIP أو RAR. تحتوي الأرشيفات على ملفات DLL خبيثة يُجرى تحميلها بشكل جانبي وتُستخدم لتوصيل حمولات إضافية. وتُعد رسائل البريد الإلكتروني هذه، والتي هي على الأرجح جزء من حملة واحدة، مهمة لأن العناصر تستخدم Hijackloader لنشر PureHVNC RAT، وهو مزيج لم ترصده X-Force من قبل.
المؤشر
نوع المؤشر
السياق
troquelesmyj[@]gmail.com
البريد الإلكتروني
البريد الإلكتروني للمرسل
nuevos777[.]duckdns[.]org
النطاق
نطاق C2
7octubredc[.]duckdns[.]org
النطاق
نطاق C2
dckis13[.]duckdns[.]org
النطاق
نطاق C2
dckis7[.]duckdns[.]org
النطاق
نطاق C2
enviopago[.]mysynology[.]net
النطاق
نطاق C2
maximo26[.]duckdns[.]org
النطاق
نطاق C2
sofiavergara[.]duckdns[.]org
النطاق
نطاق C2
hxxps[:]//drive[.]google[.]com
عنوان URL
مضيف SVG
hxxps[:]//drive[.]google[.]com/
عنوان URL
مضيف SVG
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
Hijackloader
57c49cff3e71bc75641c78a5a72d
SHA256
Hijackloader
7c3d9ad3f1bd890e3552dc6709
SHA256
Hijackloader
ce42377d3d26853fd1718f69341
SHA256
Hijackloader
a0e4979b4e4a706286438d48f
SHA256
Hijackloader
6d93a486e077858b75eb814e
SHA256
Hijackloader
bdca9849d7263d508b7ed4db
SHA256
Hijackloader
1ae61edf35127264d329b7c0e2
SHA256
Hijackloader
2ec31a8a36d73fa8354a7ac0c
SHA256
Hijackloader
776bbaa44c7788e0ccd5945
SHA256
Hijackloader
9e9997b54da0c633ffcf0a4fb
SHA256
Hijackloader
b2f733b67f1ef06d9e5ce76d3
SHA256
Hijackloader
c93e70d20ba2948a6a8a013
SHA256
Hijackloader
d550a2a327394148c0c3d05
SHA256
Hijackloader
e668ca17fcdfa818aac35f1206
SHA256
Hijackloader
fe6d0ee45a70359008b2916
SHA256
Hijackloader
977f2f18ff13c93406c5702f83
SHA256
Hijackloader
768ca38878c5bb15650343ce
SHA256
Hijackloader
47245b7d2d8cb6b92308deb
SHA256
Hijackloader
4484b0ac51536890301a0e6
SHA256
Hijackloader
0113d9f3d93069a29458b3b4
SHA256
Hijackloader
22d474e729d600dcd84ce139
SHA256
Hijackloader
2cbfc482e27a2240a48d2fb6f
SHA256
Hijackloader
96ee786c5b6167c0f0f770efba
SHA256
Hijackloader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
لقد تم الآن دمج IBM X-Force Premier Threat Intelligence مع OpenCTI من Filigran، ما يوفر استعلامات تهديدات عملية حول نشاط التهديد هذا وغير ذلك الكثير. اكتسب معارف حول عناصر التهديد، والبرامج الضارة، والمخاطر التي تواجه المجال. بادر بتثبيت X-Force OpenCTI Connector لتعزيز الكشف والاستجابة، وعزز الأمن الإلكتروني لديك مستعينًا بخبرة IBM X-Force. احصل الآن على نسخة تجريبية مجانية لمدة 30 يومًا من X-Force Premier Threat Intelligence!
رسائل Think الإخبارية
انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجِع بيان الخصوصية لشركة IBM للمزيد من المعلومات.
تعرّف على أحدث التهديدات وعزز دفاعاتك السحابية من خلال تقرير X-Force Cloud Threat Landscape.
تعرَّف على كيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مجال الأمن الإلكتروني.
احمِ مؤسستك من التهديدات العالمية مع فريق IBM X-Force المتخصص في التهديدات، والذي يتكون من متسللين ومستجيبين وباحثين ومحللين.
استخدم الكشف عن التهديدات والاستجابة لها من IBM لتعزيز الأمن لديك وتسريع الكشف عن التهديدات.
احمِ بيئة الأجهزة المحمولة لديك مع حلول الدفاع الشاملة ضد التهديدات من IBM MaaS360.
احصل على حلول شاملة لإدارة التهديدات من أجل حماية عملك من الهجمات الإلكترونية بشكل احترافي.