كاسبرسكي: مجموعات التهديدات الرقمية تطور أعمالها التخريبية بالأساليب الجديدة والقديمة

كاسبرسكي: مجموعات التهديدات الرقمية تطور أعمالها التخريبية بالأساليب الجديدة والقديمة

ahmed attia
برامج وتطبيقات
ahmed attia5 نوفمبر 2020

قالت شركة كاسبرسكي المتخصصة فى الحماية الالكترونية أن الأنشطة التي مارستها مجموعات التهديدات المتقدمة المستمرة في الربع الثالث من العام الجاري 2020 تشير إلى توجّه غير مألوف.

وبينما تتقدم العديد من تلك الجهات وتستمر في تنويع مجموعات أدواتها التخريبية، وتلجأ أحيانًا إلى تصميم أدوات مبتكرة لتنفيذ هجمات مستمرة ذات أغراض محددة، تصل بعض تلك الجهات إلى أهدافها عبر أساليب مجربة ومعروفة منذ زمن.

وقد تناولت كاسبرسكي هذا التوجه وغيره من التوجهات المرتبطة بالتهديدات المتقدمة المستمرة في أجزاء مختلفة من العالم في أحدث تقاريرها الربع سنويةالخاصة بمعلومات التهديدات.

ولاحظ باحثو كاسبرسكي في الربع الثالث من 2020، انقسامًا في النهج العام الذي تستخدمه الجهات والمجموعات الناشطة في مجال التهديدات الرقمية؛ فقد شوهدت تطورات متعددة في الأساليب والتقنيات والإجراءات الخاصة بهذه المجموعات في جميع أنحاء العالم، بجانب حملات فعالة استخدمت نواقل هجوم ومجموعات أدوات اتسمت بالبساطة.

كانت إحدى أبرز النتائج التي توصل إليها التقرير الربعي، حملة نفذتها مجموعة تخريبية غير معروفة قررت إصابة أحد الضحايا باستخدام نسخة من أدوات تشغيل البرمجيات الثابتة bootkit معدلة لتناسب الواجهة الموحّدة والموسّعة للبرمجيات الثابتة (UEFI)، التي تُعدّ مكونًا أساسيًا من مكونات أي حاسوب حديث. كان ناقل الهجوم هذا جزءًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor.

وقد أدّت إصابة UEFI إلى جعل البرمجية الخبيثة المزروعة في الجهاز تعمل استثنائيًا بصورة مستمرة وتصعب إزالتها.

ويمكن علاوة على ذلك، أن تكون الحمولة التي يجري تنزيلها من قبل البرمجية الخبيثة مختلفة بين جهاز ضحية وآخر، وقد مكّن هذا النهج المرن جهة التهديداتمن إخفاء حمولتها عن الشهود غير المرغوب فيهم.

من جهة أخرى، تستفيد بعض جهات التهديدات مما يُعرف بالاختزال، فقد اكتشفت طريقة جديدة تسيء استخدام الملف الثنائي الموقع برمز المصادقة في حلّ “ويندوز” الأمني المعتمد Windows Defender، ضمن هجوم على إحدى شركات الاتصالات في أوروبا.

واستخدمت نسخة جديدة من المنفذ الخلفيOkrum في حملة مستمرة منسوبة إلى المجموعة التخريبية Ke3chang، بحيث تُسيء استخدام الملف الثنائي الموقع برمز المصادقة في Windows Defenderعبر استخدام أسلوب فريد في التحميل الجانبي.

واستخدم المهاجمون أسلوب “إخفاء المعلومات” ضمن الملف لإخفاء الحمولة الرئيسة القابل للتنفيذ في Defenderمع الحفاظ على سلامة التوقيع الرقمي، ما قلّل من فرص الكشف عنها.

وتواصل العديد من الجهات التخريبية الأخرى أيضًا تحديث مجموعات أدواتها لجعلها أكثر مرونة وأقل عرضة للانكشاف.

وتستمر البُنى متعددة المراحل، مثل تلك التي طورتها مجموعة MuddyWater في الظهور في مزيد من الحوادث، في توجّه ينطبق أيضًا على البرمجيات الخبيثة الأخرى،مثل Dtrack RAT (أداة للوصول عن بُعد) التي خضعت للتحديث بميزة جديدة تمكن المهاجم من تنزيل المزيد من أنواع الحمولات وتنفيذها على الأجهزة المستهدفة.

لكن في المقابل، ما زالت بعض الجهات التخريبية تستخدم بنجاح سلاسل هجوم منخفضة التقنية، بينها مجموعة تخريبية مرتزقة أطلق عليها باحثو كاسبرسكي اسمDeathStalker.

وتركّز المجموعة في الأساس على استهداف شركات المحاماة والشركات العاملة في القطاع المالي، وتجمع معلومات حساسة وقيمة من الضحايا. باستخدام أساليب ظلّت متطابقة في الغالب منذ العام 2018، تمكّنتDeathStalker من الاستمرار في تنفيذ هجماتها بنجاح بفضل التركيز على التهرّب من الاكتشاف.

وبينما تظلّ بعض الجهات التخريبية الناشطة في مجال التهديدات الرقميةثابتة بمرور الوقت، وتتطلع ببساطة إلى استغلال مواضيع ساخنة مثل جائحة كورونافي محاولة الإيقاع بضحاياها ودفعهم إلى تنزيل المرفقات الخبيثة، تعمل البعض الآخر من تلك الجهات على تطوير نفسها ومجموعات أدواتها، وفق ما أوضح أرييل جونغيت الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي.

وقال: “كان مما شهدناه خلال الربع الماضي اتساع نطاق المنصات والأنظمة التي جرت مهاجمتها، والعمل المستمرّ على تطوير سلاسل الهجوم، واستغلال بعض الخدمات الرسمية ضمن البنية التحتية للهجوم.

وهو يعني لمختصي الأمن الرقمي أهمية استثمار الموارد في تتبع الأنشطة التخريبية في بيئات جديدة، لعل بعضها يكون رسميًا ولم يخضع لكثير من التدقيق من قبل،وربما يتضمن برمجيات خبيثة مكتوبة بلغات برمجية أقل شهرة، وخدمات سحابية معروفة”.

وأكّد جونغيت أن تتبع أنشطة الجهات التخريبية والإلمام بالتطور في أساليبها وتقنياتها وإجراءاتها “يتيح لنا متابعتها أثناء محاولاتهاالتعديل على التقنيات والأدوات لتطويرها وتحديثها، وبالتالي إعداد أنفسنا للتصدي للهجمات الجديدة المحتملة في الوقت المناسب”.

ويلخص التقرير الموجز الخاص بتوجهات جهات التهديدات المتقدمة المستمرة خلال الربع الثالث من العام الجاري نتائج تقارير معلومات التهديدات الواردة من المشتركين في خدمات كاسبرسكي، بالإضافة إلى المصادر الأخرى التي تغطي التطورات الرئيسة التي يجب أن يكون قطاع الشركات على دراية بها.

وتتضمن تقارير معلومات التهديدات من كاسبرسكي أيضًا بيانات مؤشرات الاختراق، بالإضافة إلى قواعد Yara وSuricata للمساعدة في التحقيقات الجنائية والبحث عن البرمجيات الخبيثة. ويمكن التواصل معintelreports@kaspersky.comلمزيد من المعلومات.

توصيات كاسبرسكي

تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات.

وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية. ويمكن الوصول مجانًا إلى مزايا المنصة التي تمكّن المستخدمين من فحص الملفات وعناوين الويب وعناوين بروتوكول الإنترنت.

تنفيذ حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب.

تنفيذ حل أمني مؤسسي شامل يكون قادرًا على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.

رابط مختصر

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.