كشف خبراء كاسبرسكي عن حملة تجسس إلكتروني غير معروفة سابقًا في فبراير 2024، وكانت الحملة قد استهدفت كيانًا حكوميًا في الشرق الأوسط. حيث تجسس المهاجمون سرًا على الهدف وحصلوا على بيانات حساسة باستخدام مجموعة متطورة من الأدوات المصممة للتخفي والمقاومة.
وقد كشفت التحقيقات الإضافية عن أكثر من 30 عينة من حاملات البرمجيات الخبيثة النشيطة المستخدمة في هذه الحملة، ويزعم أنها توسع نطاق ضحاياها المحتملين ليشمل منطقة آسيا والمحيط الهادئ، وأوروبا، وأمريكا الشمالية.
وأشار خبراء كاسبرسكي إلى سلاسل البرمجيات الخبيثة المكتشفة تحمل اسم (DuneQuixote)، وتتضمن في كودها البرمجي مقتطفات مأخوذة من قصائد إسبانية تحث على المثابرة والتهرب من الكشف، وتهدف هذه السلاسل بالمحصلة إلى التجسس الإلكتروني.
إذ تتنكر حاملات البرمجيات الخبيثة الأولية كملفات تثبيت لأداة مشروعة باسم (Total Commander) ولكنها مخترقة. وداخل هذه الحاملات، ضُمنت مقتطفات من قصائد إسبانية، مع إضافة مقتطفات مختلفة بين العينة والأخرى. إذ يهدف هذا الاختلاف إلى تغيير توقيع كل عينة، مما يجعل كشفها بالمنهجيات التقليدية أكثر صعوبة.
ويُعدّ الجزء الأهم من الحامل هو رمز خبيث مصمم لتنزيل حمولات إضافية على هيئة برمجية باب خلفي تسمى (CR4T) وتهدف هذه الأبواب الخلفية – التي طُورت باستخدام لغات برمجة ++C، وC، وGoLang – إلى تمكين المهاجمين من الوصول إلى جهاز الضحية.
والجدير بالذكر، أن نوع البرمجية الذي يستخدم لغة (GoLang) يستغل واجهة برمجة تطبيقات منصة تيليجرام لاتصالات القيادة والتحكم، ويستفيد بذلك من روابط واجهة برمجة تطبيقات منصة تيليجرام المعتمدة على لغة (GoLang).
وتعليقًا على ذلك، قال سيرجي لوزكين؛ الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي في كاسبرسكي: “تظهر الاختلافات في البرامج الخبيثة القدرة على التكيف، وسعة الحيلة لمصادر التهديد الواقفة خلف هذه الحملة. وحتى الآن، اكتشفنا اثنين من هذه الاختراقات، لكننا نشتبه بشدة بوجود اختراقات إضافية. ففي وقت مبكر من فبراير 2024، اكتشفت قياسات كاسبرسكي البعيدة ضحية في الشرق الأوسط، وبالإضافة إلى ذلك، في نهاية عام 2023، حُملت البرمجية الخبيثة نفسها إلى خدمة فحص برامج خبيثة شبه العامة في أكثر من 30 محاولة. ويشتبه بأن المصادر الأخرى هي عُقد خروج شبكات خاصة افتراضية في كوريا الجنوبية، ولوكسمبورغ، واليابان، وكندا، وهولندا، والولايات المتحدة”.
وصايا خبراء كاسبرسكي:
لحماية نفسك من الوقوع ضحية لهجوم موجه، سواء من مصدر خطر معروف أم غير معروف، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
- زود فريق مركز العمليات الأمني بالوصول إلى أحدث معلومات التهديدات. ولتحقيق تلك الغاية، يُعدّ حل (Kaspersky Threat Intelligence Portal) نقطة وصول موحدة لمعلومات التهديدات، كما يوفر بيانات الهجمات السيبرانية والمعلومات التي جمعتها كاسبرسكي عبر أكثر من 20 عامًا.
- درّب فريق الحماية السيبرانية الخاص بك لمواجهة أحدث الهجمات الموجّهة، وذلك باستخدام خدمة التدريب عبر الإنترنت من كاسبرسكي، التي طورها خبراء فريق البحث والتحليل العالمي في الشركة.
- احرص على تضمين حلول مثل: (Kaspersky Next) لتتمكن من كشف الحوادث على مستوى النقاط الطرفية، والتحقيق بها، وحلها.
- استخدم حل أمني من مستوى الشركات يكتشف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، ومثال ذلك حل (Kaspersky Anti Targeted Attack Platform)، وذلك بالإضافة إلى اعتماد الحماية الأساسية للنقطة الطرفية.
- نظرًا إلى كون العديد من الهجمات الموجهة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى، قدّم تدريبات تهدف إلى رفع الوعي الأمني وعلم المهارات العملية لفريقك، ويمكنك فعل ذلك من خلال منصة Kaspersky Automated Security Awareness Platform.
تابعنا