بالو ألتو نتوركس: هجمات جديدة واستخدام تكتيكات مراوغة
رصدت شركة بالو ألتو نتوركس المختصة في تطوير الجيل التالي من الحلول الأمنية هجمات مستمرة لمجموعة أويلريغ OilRig ضد المؤسسات الحكومية في منطقة الشرق الأوسط متبعة تكتيكات مراوغة وأدوات مختلفة عن تلك التي استخدمتها في الهجمات السابقة، وقامت مجموعة أويلريغ في أحدث هجماتها بإرسال بريد إلكتروني احتيالي يحتوي على طعم تم تصميمه بعناية لاستدراج متلقي الرسالة لفتح الملف المرفق المتمثل في برمجية خبيثة.
وقد تم التعرف على الملف المرفق على أنه نسخة من فيروس تروجان OopsIE، والذي تم اكتشافه لأول مرة في شهر فبراير 2018، وتضم هذه النسخة من OopsIE الخصائص ذاتها، إلا أن الجديد هو إضافة إمكانيات مراوغة ضد وسائل التحليل والأجهزة الافتراضية، وذلك بهدف تجاوز أنظمة الدفاع الآلية ضد الهجمات الإلكترونية.
وقد سبق لمجموعة أويلريغ في شهر يوليو 2018 أن أطلقت موجة من الهجمات اعتمدت فيها على برمجية خبيثة تسمى QUADAGENT، واستهدفت إحدى المؤسسات الحكومية في الشرق الأوسط.
ولاحظت بالو ألتو نتوركس خلال تلك الموجة من الهجمات أن المجموعة اعتمدت على حسابات بريد إلكتروني مسروقة من المؤسسة ذاتها لإرسال البريد الإلكتروني الاحتيالي مزوداً بفيروس تروجان OopsIE كحمولة خبيثة عوضاً عن برمجية QUADAGENT.
كما أن الهجمة التي اعتمدت على OopsIE استهدفت مؤسسة حكومية أخرى في نفس البلد تختلف عن تلك التي تم استهدافها بالاستعانة ببرمجية QUADAGENT، وقد حمل البريد الإلكتروني المرسل العنوان التالي باللغة العربية “البرنامج التدريبي لاستمرارية الأعمال”.
وقد تم إرسال البريد الإلكتروني إلى مجموعة من المستخدمين، وليس إلى عنوان شخص معين، واعتماداً على المعلومات المتاحة يبدو أن هذه المجموعة التي تم استهدافها سبق وأصدرت منشورات عدة تتعلق باستمرارية الأعمال على شبكة الإنترنت، مما يعني أن الطعم المستخدم في البريد الإلكتروني تم تصميمه بعناية لهذه الهجمة.
وأكدت بالو ألتو نتوركس أن مجموعة أويلريغ تمثل تهديداً حقيقياً للمؤسسات في منطقة الشرق الأوسط، وتعمل المجموعة باستمرار على تكرار هجماتها ورفع سوية إمكانيات أدواتها، بينما تحافظ على تكتيكات الهجوم ذاتها تباعاً في كل هجمة.
بينما نتابع عن كثب نشاطات مجموعة أويلريغ، نلاحظ أنهم على استعداد دائم لإضافة إمكانيات غير شائعة لأدواتهم، ومن الأمثلة على ذلك استخدامهم لتكتيك تزويد برمجيات التسلل الخلفي بميزة تحميل البرمجيات الخبيثة ضمن حزم الاستجابة لخادم DNS أو تزويد برمجيات webshell الخبيثة بمزايا التوثيق.
ولا تختلف هذه الهجمة التي نتحدث عنها هنا من حيث المبدأ، إذ عملت المجموعة على تزويد أدواتها بإمكانيات المراوغة ضد وسائل التحليل، وما من شك أن هذه المجموعة تزخر بإمكانيات وقدرات عالية على التكيف مع مرور الوقت، ومع ذلك، لا بد من القول أيضاً أن التكتيكات التي تعتمدها المجموعة تعتبر بدائية نوعاً ما، ويمكن للمؤسسات التحصن ضدها من خلال اعتماد وسائل حماية بسيطة، ويحظى كافة عملاء شركة بالو ألتو نتوركس بحماية كاملة ضد هجمات مجموعة أويلريغ.
