تقرير: عصابات تشن هجمات إلكترونية باستغلال جائحة كوفيد 19

حافظت العصابات والمجموعات التخريبية التي تقف وراء التهديدات المتقدمة المستمرة (APT) خلال العام 2020 على نشاطها، بل واصلت التطوير والتحديث، على الرغم مما يشهده العام من ظروف وأزمات غير مسبوقة؛ فقد حرصت تلك العصابات على استغلال جائحة فيروس كورونا المستجد، أو COVID-19، طُعمًا في العديد من الحملات التخريبية الكبيرة والصغيرة.

 وشهد باحثو المركز الروسي “كاسبرسكي” مساعي تطوير مستمرة لترسانات تلك العصابات من البرمجيات والأدوات الخبيثة المستخدمة في التهديدات المتقدمة المستمرة على مختلف الجبهات، بدءًا من استهداف المنصات الجديدة والاستغلال النشط للثغرات، وصولًا إلى التحوّل بالكامل إلى أدوات جديدة. وقد تناول أحدث تقرير فصلي موجز لكاسبرسكي حول التهديدات هذه التوجهات وغيرها في جميع أنحاء العالم.

ويستند التقرير الموجز حول التهديدات خلال الربع الثاني من العام الجاري على أبحاث خاصة حول المعلومات المتعلقة بالتهديدات، فضلًا عن مصادر أخرى تتناول التطوّرات المهمة التي رأى باحثو الشركة أن على الشركات والمؤسسات أن تكون على دراية بها.

ولاحظ الباحثين في الربع الثاني تطورات متعددة في التكتيكات والأساليب والإجراءات التي تتبعها العصابات التي تقف وراء التهديدات المتقدمة المستمرة في جميع أنحاء العالم. وقد رصد التقرير التغييرات المهمة التالية:

مجموعة Lazarus، التي كانت إحدى جهات التهديد الرئيسة لعدة سنوات، بدأت بجانب هجمات التجسس الرقمي، تزيد استثمرها في الهجمات التي تحقق لها مكاسب مالية، كالبنوك والشركات المالية في جميع أنحاء العالم. في هذا الربع، رصد باحثو كاسبرسكي أيضًا شروع Lazarus في شن هجمات  فدية فردية ما يُعتبر نشاطًا غير اعتيادي لمجموعة تمارس الهجمات المتقدمة المستمرة، وذلك باستخدام منظومة متعددة المنصات تُسمى MATA لتوزيع البرمجيات الخبيثة. في السابق، وكان اسم Lazarus ارتبط في السابق بهجوم WannaCry سيئ السمعة.

عصابة CactusPete الناطقة بالصينية، باتت تستخدم الآن منصة ShadowPad الهجومية المعقدة التي تشتمل على برمجيات تشغيلية مساعدة ووظائف متنوعة. ونشرت ShadowPad سابقًا في عدد من الهجمات الرقمية الكبرى، بالاستعانة بمجموعة من البرمجيات المساعدة.

جهة التهديدات المتقدمة المستمرة MuddyWater اكتشف في العام 2017 وظلّ منذ ذلك الحين نشطًا في الشرق الأوسط. وأبلغ الباحثين بالمركز في 2019 عن نشاط موجه ضدّ شركات اتصالات ومنظمات حكومية في الشرق الأوسط. واكتشفت  حديثًا أن MuddyWater تستخدم سلسلة جديدة من أدوات C++ في موجة جديدة من الهجمات التي استفادت فيها من أداة مفتوحة المصدر تسمى Secure Socket Funneling للتمكّن من التحرك الجانبي.

جهة التهديدات المتقدمة المستمرة HoneyMyte شنّت في مارس الماضي هجوم ما يُعرف بـ Watering Hole أو “الموقع المفخخ” على موقع إلكتروني تابع لحكومة بلد في جنوب شرق آسيا. ويبدو أن هذا الهجوم استغل القوائم البيضاء ومبادئ الهندسة الاجتماعية لإصابة أهدافه.

وتمثلت الحمولة النهائية التي نقلها الهجوم في أرشيف ZIP بسيط يحتوي على ملف readme يحرّض الضحية على زرع برمجية خبيثة تُدعى Cobalt Strike، في حين تمثلت الآلية المستخدمة في ذلك في التحميل الجانبي لملف DLL ليعمل على فكّ تشفير البرمجية السطحية الخاصة ببرمجية Cobalt Strike وتنفيذها.

جهة التهديد OceanLotus القائمة وراء حملة PhantomLance المتقدمة التي استهدفت الهواتف المحمولة، ظلّت تستخدم نسخًا جديدة من أداة التنزيل متعدد المراحل للبرمجيات الخبيثة منذ النصف الثاني من 2019. وتستخدم هذه النسخ معلومات خاصة بالهدف (اسم المستخدم واسم المضيف، إلخ) تحصل عليها مسبقًا لضمان زرع البرمجية الخبيثة عند الضحية المناسبة. وتواصل العصابة زرع برمجياتها الخبيثة وتوظيف منافذها الخلفية، بالإضافة إلى Cobalt Strike Beacon، مزوّدة إياها ببنية تحتية محدثة.