أخبار الإنترنتالأمن الإلكترونيدراسات وتقارير

كاسبرسكي: Atlas تعزز ترسانتها ببرمجيات خبيثة متعددة الأشكال

قالت شركة كاسبرسكي في تقرير جديد إن الجهة التخريبية المعروفة باسم Cloud Atlas أجرت تحديثات مهمة على ترسانتها من التهديدات الإلكترونية المستمرة المتقدّمة، بإضافة أدوات جديدة تسمح لها بتجنب الاكتشاف من قِبل مؤشرات الاختراق العادية. وقد اكتُشِف وجود سلسلة من الإصابات بالأدوات التخريبية المحدثة هذه لدى منشآت مختلفة في أوروبا الشرقية، وآسيا الوسطى، وروسيا.

وتتمتع Cloud Atlas بتاريخ طويل حافل بعمليات التجسس الإلكتروني التي تستهدف قطاعات وجهات حكومية وكيانات أخرى. وقد تُعرِّفَ عليها لأول مرة في العام 2014 وهي تنشط منذئذ. ورأى باحثون لدى كاسبرسكي أن Cloud Atlas تستهدف قطاعي الاقتصاد والفضاء العالميين، فضلًا عن منشآت حكومية ودينية في البرتغال، ورومانيا، وتركيا، وأوكرانيا، وروسيا، وتركمانستان، وأفغانستان، وقيرغيزستان، وبلدان أخرى.

وعندما تتمكّن هذه الجهة التخريبية من التسلل بنجاح إلى الجهة المستهدفة، فإنها تجمع المعلومات المتعلقة بالنظام الذي اخترقته، وتسجّل كلمات المرور، وتسرّب أحدث ملفات txt، و pdf، و xls، و doc إلى خادم القيادة والسيطرة.

ولم تغيّر Cloud Atlas أساليبها تغييرًا جذريًا، لكنها بدأت منذ العام الماضي، عبر موجات من الهجمات المكتشفة، في تطبيق طريقة جديدة لإصابة ضحاياها وإجراء تحركات جانبية عبر شبكاتهم.

في السابق، كانت المجموعة التخريبية Cloud Atlas ترسل أولًا رسالة بريد إلكتروني للتصيّد تشتمل على ملف مُرفق خبيث إلى الجهة المستهدفة. وفي حالة نجاح الاختراق، يُنفَّذ الملف الخبيث المرفق PowerShower، والمستخدم للاستطلاع الأولي ولتنزيل وحدات إضافية خبيثة، وذلك من أجل السماح للمهاجمين الإلكترونيين بمتابعة العملية.

وتؤجّل سلسلة الإصابة المحدثة تنفيذ البرمجية الخبيثة PowerShower حتى مرحلة لاحقة، في حين باتت الآن تعمل بدلًا من ذلك على تنزيل تطبيق HTML خبيث وتنفيذه على الجهاز الهدف بعد الإصابة الأولية مباشرة. ويجمع هذا التطبيق بعد ذلك معلومات أولية عن الحاسوب المصاب الذي هوجم وينزّل وينفّذ وحدة خبيثة أخرى هي VBShower، قبل أن يمحو VBShower الدليل على وجود برمجية خبيثة في النظام، ويتشاور مع أسياده من خلال خوادم القيادة والسيطرة، لاتخاذ قرار بشأن الإجراءات الإضافية المفترض اتباعها. وتنزّل البرمجية الخبيثة بعد ذلك، من Cloud Atlas البرمجية الخبيثة PowerShower أو تفتح منفذًا خلفيًا آخر للمرحلة الثانية، وذلك بناءً على الأمر الذي تم استلامه.

وبينما تتسم سلسلة الإصابة الجديدة هذه عمومًا بالتعقيد أكثر من سابقتها، فإن التمايز الرئيس بينهما يتمثل في حقيقة أن تطبيق HTML الخبيث ووحدة VBShower يتسمان بكونهما متعددي الأشكال، ما يعني أن الشيفرة البرمجية في كلتا الوحدتين ستكون جديدة وفريدة في كل حالة من حالات الإصابة. ووفقًا لخبراء كاسبرسكي، يُنفذ هذا الإصدار المحدّث من أجل جعل البرمجية الخبيثة غير مرئية لدى الحلول الأمنية التي تعتمد على مؤشرات الاختراق الاعتيادية المألوفة.

وقال (فيليكس إيمي) – أحد الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي: إن تبادل الجهات العاملة في الأمن الإلكتروني مؤشرات الاختراق الخاصة بالعمليات التخريبية التي يُعثر عليها في البحث “بات من الممارسات الجيدة التي أصبحت تُتبع في مجتمع الأمن الإلكتروني”، موضحًا أن هذه الممارسة “تسمح لنا بالتصدي بسرعة لعمليات التجسّس الإلكتروني الدولية الجارية، ما يحول دون تسببها بأضرار”.

وأضاف إيمي: “لكن مثلما توقعنا في وقت مبكر من العام 2016، بدأت مؤشرات الاختراق تفقد فاعليتها في اكتشاف الهجمات الموجّهة في شبكات النظام. وقد ظهر هذا أولًا مع عملية ProjectSauron والتي خلقت مجموعة فريدة من مؤشرات الاختراق لكل ضحية من ضحاياها واستمرت في اتجاه استخدام أدوات مفتوحة المصدر في عمليات التجسّس بدلًا من أدوات فريدة. واستمر هذا الحال مع هذا المثال الحديث للبرمجيات الخبيثة متعددة الأشكال. ولا يعني هذا أن الجهات التخريبية صعّبت على الجهات الأمنية اللحاق بها وإيقافها، ولكن يجب أن تتطور المهارات الأمنية والأدوات الدفاعية لمواكبة تطور نظيراتها لدى الجهات التخريبية”.

وتوصي كاسبرسكي الشركات والمؤسسات باستخدام حلول مضادة للهجمات الموجّهة ومُحسّنة باستخدام مؤشرات اختراق تركز على التكتيكات أو الأساليب أو الإجراءات التي قد تتخذها الجهات التخريبية عند التحضير لهجوم. وتتبع مؤشرات الهجوم الأساليب التي يتم توظيفها بغض النظر عن الأدوات المستخدمة. وتحتوي أحدث إصدارات الحلّين Kaspersky Endpoint Detection and Response وKaspersky Anti Targeted Attack من كاسبرسكي على قاعدة بيانات جديدة لمؤشرات الاختراق، يتم تحديثها على أيدي صائدي التهديدات الخبراء العاملين لدى كاسبرسكي.

كما توصي كاسبرسكي الشركات والمؤسسات بالحرص على تثقيف الموظفين بشأن النظافة الرقمية وتعريفهم بكيفية التعرّف على رسائل البريد الإلكتروني التصيّدية، أو الروابط التي يُحتمل أن تكون ضارّة، مع الاهتمام بتقديم التدريب التوعوي المتخصص للموظفين. كما توصي باستخدم حل أمني للنقاط الطرفية مزوّد بمكونات مكافحة البريد الإلكتروني غير المرغوب فيه ومكافحة التصيّد، فضلًا عن ضبط وظائف التحكّم في التطبيقات على وضع “الرفض الأساسي” من أجل منع تنفيذ التطبيقات غير المصرح بها، وذلك مثل الحلّ Kaspersky Endpoint Security for Business.

ومن وصايا كاسبرسكي للشركات: تنفيذ حلّ EDR مثل Kaspersky Endpoint Detection and Response للإمساك حتى بالبرمجيات الخبيثة المصرفية المجهولة، من أجل الكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب. بالإضافة إلى تطبيق حلّ أمني على المستوى المؤسسي يكشف التهديدات المتقدّمة على الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform. وتُوصى الشركات أيضًا بدمج معلومات التهديدات في الخدمات والضوابط الأمنية التابعة لإدارة المعلومات والأحداث الأمنية في المؤسسة، من أجل الوصول إلى أهمّ بيانات التهديدات وأحدثها.

زر الذهاب إلى الأعلى