بالو ألتو نتوركس تكشف عن هجمات جديدة لعصابة كوبالت الإلكترونية
كشفت بالو ألتو نتوركس Palo Alto Networks، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، عن قيام عصابة كوبالت الإلكترونية Cobalt Gang بشن مجموعة جديدة من الهجمات الإلكترونية معتمدة على أساليب متنوعة مثل رسائل البريد الإلكتروني والثغرة الأمنية الموجودة في مايكروسوفت أوفيس.
ويعد من السهل جداً اليوم أن يقوم أحد مجرمي الإنترنت باستخدام طرائق هجوم بدائية يصعب تتبعها، وبرمجيات ضارة يقوم بنشرها بطرق معينة للبقاء بعيداً عن أنظمة أمن المعلومات التي يمكن أن تكشف ضلوعه بأي هجوم إلكتروني.
ويتمثل أحد أكثر أساليب الهجوم شيوعاً في استخدام رسائل البريد الإلكتروني التصيدية التي توظف الهندسة الاجتماعية للوصول إلى أهدافها، أو من خلال هجمات استغلال شائعة الاستخدام مثل ثغرة CVE-2017-0199 في مايكروسوفت أوفيس، وأدوات بناء الهجمات ThreadKit، وذلك بهدف خداع موظفي المؤسسات المستهدفة.
وينتقل المهاجم بمجرد نشر العدوى الأولية إلى أساليب هجوم أكثر تطوراً، ويقوم بنشر برمجيات وأدوات متقدمة، فضلاً عن استخدام أدوات استغلال البرمجيات القائمة مثل هجمات المنفذ الخلفي PowerShell في نظام ويندوز أو أدوات مثل CMSTP أو Regsvr32.
وتجعل مثل هذه الأساليب من الصعب على صائدي التهديدات الأمنية العثور على الهجمات وكأنها مجموعة من الأبر في كومة قش، وهم بحاجة لاكتشافها بهدف تحديد نوع الحملة الخبيثة وأهدافها، لكن حتى إن كان المهاجم يستخدم أدوات هجوم بدائية يصعب اكتشافها، فهناك دائماً فرصة متاحة للتعرف على إشارات أو خصائص محددة لأي هجوم تساعد بدورها على تحديد بنية الجهة الفاعلة وبالتالي تتبعها.
وتعتبر عصابة كوبالت أو Cobalt Gang واحدة من المجموعات الإجرامية المعروفة باتباع مثل هذه الأدوات والتقنيات والإجراءات TTPs، ولا تزال هذه العصابة نشطة حتى بعد اعتقال رئيس العصابة المزعوم في إسبانيا هذا العام.
وقد رصدت شركة بالو ألتو نتوركس عبر ذراعها الأمنية (الوحدة 42) خلال شهر أكتوبر 2018 حملات جديدة لعصابة كوبالت وأنشطة خبيثة لها تطال تستهدف العديد من المؤسسات حول العالم.
وقد تمكنت شركة بالو ألتو نتوركس من تحديد مصممي برمجيات الماكرو الشائعة، بالإضافة إلى الوصول إلى بيانات وصفية لمستندات محددة يتم استخدامها، وهو ما سمح لها بتتبع وتحديد الأنشطة والبنية التحتية الجديدة المقترنة بعصابة كوبالت.
وتمكنت شركة بالو ألتو نتوركس من تطوير آليات جديدة تساعد على تعقب وملاحقة الأنشطة والبنية التحتية التي تقوم بها عصابة كوبالت باتباعها، وذلك من خلال التركيز على جوانب محددة يتصف بها مصممو برمجيات الماكرو، بالإضافة إلى الوصول إلى البيانات الوصفية التي تتركها الجهات المهاجمة خلفها.
يذكر أن كافة عملاء شركة بالو ألتو نتوركس يحصلون على حماية كاملة ضد هجمات عصابة كوبالت.
