كاسبرسكي: استهداف مؤسسات قانونية ومالية ووكالات سفر ببرمجية خبيثة جديدة
استطاع خبراء كاسبرسكي تحديد نسخة ذات وظائف جديدة من البرمجية الخبيثة (Janicab)، التي تستخدمها عصابة (DeathStalker)، المختصة بالتهديدات المتقدمة المستمرة، للتسلل إلى مؤسسات معينة في عدّة قطاعات.
ورُصدت النسخة الجديدة في مناطق من أوروبا والشرق الأوسط، ووُجد أنها تستغلّ بعض خدمات الويب الرسمية، مثل يوتيوب YouTube، ضمن سلسلة الإصابة.
ويمكن أن تؤدي الإصابة بالبرمجية (Janicab)، مثلًا، إلى تحديات لوجستية وقانونية مستهدفة، وتحسين مكانة المنافسين، وعمليات تدقيق مفاجئة قد تكشف عن تحيزات وإساءات في استخدام الملكية الفكرية، وهذا يجعل أضرارها تختلف عن الأضرار التقليدية الناجمة عن هجمات من قبيل الابتزاز الرقمي أو الفدية.
وتُعد (Janicab) برمجية خبيثة معيارية مكتوبة بلغة مفسَّرة، وهذا يعني أن الجهة التخريبية قادرة على إضافة الوظائف أو تضمين الملفات، أو إزالتها، بجهد ضئيل.
وتبيَّن من قراءات كاسبرسكي الواردة عن بُعد أن نسخ (Janicab) الأحدث قد شهدت تغيّرات ملموسة في بنيتها الهيكلية، مع وجود نسخ أرشيفية تحتوي على العديد من الملفات المكتوبة بلغة (Python)، وغيرها من القطع المستخدمة لاحقًا في عملية الاختراق، وذلك بالرغم من أن آلية التوصيل لا تزال قائمة على التصيّد. بمجرد أن يتمّ خداع الضحية وفتح الملف الخبيث، يجري بالتتابع تحميل سلسلة من الملفات الخبيثة على النظام.
وتتمثل إحدى السمات المميِّزة لبرمجية (DeathStalker) في استخدامها لخدمات (DDR) أو خدمات الويب، لاستضافة سلسلة مشفَّرة يُفكّ تشفيرها لاحقًا بغرسة من البرمجيات الخبيثة.
ووفقًا لتقرير جديد، استطاعت كاسبرسكي تحديد استخدام روابط يوتيوب قديمة كانت موجودة في عمليات اقتحام تمّت في عام 2021. وكانت العصابة قادرة على العمل بسرية وتكرار استخدام بنيتها الخاصة بالقيادة والسيطرة، نظرًا إلى صعوبة العثور على روابط الويب غير المدرجة.
واشتملت المؤسسات المتأثرة التي وقعت ضمن المجال التقليدي للعصابة (DeathStalker)، في الأساس، على مؤسسات قانونية ومالية واستثمارية. لكن كاسبرسكي سجلت أيضًا نشاطًا استهدف وكالات السفر. واعتُبرت أوروبا والشرق الأوسط من مناطق العمل المثالية للعصابة، ولكن بدرجات متفاوتة بين دول المنطقتين.
وقال الدكتور أمين حاسبيني، رئيس مركز الأبحاث لمنطقة الشرق الأوسط وتركيا وإفريقيا في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن بالإمكان الافتراض بأمان، بأن الأهداف الرئيسة لعصابة (DeathStalker) تتمثل في سرقة المعلومات السرية الخاصة بالنزاعات القانونية المتعلقة بكبار الشخصيات وبالأصول المالية الكبيرة، فضلًا عن المعلومات التجارية التي تمسّ التنافسية، والمعلومات حول عمليات الدمج والاستحواذ، وذلك بالنظر إلى أن المؤسسات القانونية والمالية “هدف مشترك لهذه العصابة”.
وأضاف حاسبيني: “يجب على المؤسسات العاملة في هذه القطاعات الاستعداد لمثل حالات الاختراق هذه، وتحديث نماذجها الخاصة بالتهديدات، لضمان بقاء البيانات آمنة”.
وينبغي للمؤسسات المتأثرة أن تعتمد على القوائم البيضاء للتطبيقات، وتدعيم أنظمة التشغيل، بوصفها أساليب فعّالة لمنع محاولات الاقتحام، وذلك نظرًا إلى استمرار العصابة في استخدام برمجيات خبيثة مستندة إلى لغة مفسَّرة، مثل (Python)، و(VBE)، و(VBS) في محاولات الاختراق الحديثة. كذلك على جهات الحماية أن تبحث أيضًا عن إجراءات المتصفح إنترنت إكسبلورر (Internet Explorer) التي تعمل من دون واجهة مستخدم، نظرًا إلى أن (Janicab) يستخدم المتصفح في الوضع المخفي للتواصل مع البنية الأساسية للقيادة والسيطرة.
