الأمن الإلكترونيدراسات وتقارير

كاسبرسكي تكشف حملة شرسة تستهدف منظمات منطقة النزاع الروسي الأوكراني

اكتشف باحثو كاسبرسكي في شهر تشرين الأول/ أكتوبر 2022 وجود حملة مستمرة من (التهديدات المتقدمة المستمرة) APT، تستهدف المنظمات في المنطقة المتأثرة بالصراع المستمر بين روسيا وأوكرانيا.

وبدأت حملة التجسس، التي يطلق عليها اسم (السحر الشائع) CommonMagic، منذ شهر أيلول/ سبتمبر 2021، وتستخدم برنامجًا ضارًا لم يُعرف سابقًا لجمع البيانات من أهداف محددة، تشمل: منظمات الإدارة، والزراعة، والنقل الموجودة في مناطق دونيتسك، ولوهانسك، وشبه جزيرة القرم.

ويستخدم المهاجمون في هذه الحملة بابًا خلفيًا يعتمد على محرك الأتمتة ولغة التشفير (باور شل) PowerShell، ويحمل اسم (باور ماجيك) PowerMagic، إضافة إلى إطار عمل ضار جديد يسمى CommonMagic، وهو قادر على سرقة الملفات من (الناقل التسلسلي العام) USB، ومن ثم تُجمع البيانات وتُرسل إلى المهاجم.

ويتمثل الجانب الأسوأ من ذلك في أن إمكانات هذا البرنامج لا تقتصر على هاتين الوظيفتين، بل إن بنية الأطر المعيارية التي يستخدمها، تسمح بإدخال برمجيات ضارة إضافية من خلال وحدات جديدة.

كاسبرسكي تكشف حملة شرسة تستهدف منظمات منطقة النزاع الروسي الأوكراني
مستند خبيث بشكل ملف Word (الموضوع: نتائج انتخابات مجلس الدوما في جمهورية القرم)

وقد بدأت الهجمات باستخدام ما يسمى «التصيد بالرمح» أو طرق أخرى مشابهة، كما هو مبيّن في الخطوات التالية في سلسلة العدوى. ووُجِّهت الأهداف إلى عنوان صفحة الموقع الإلكتروني URL التي تحولها إلى أرشيف مضغوط ZIP يستضيفه جهاز خادم ضار.

واحتوى الأرشيف على ملف خطرٍ نشرَ البابَ الخلفي لبرمجية PowerMagic مع وثيقة خادعة تهدف إلى تضليل الضحايا لإيهامهم بأن المحتوى معتمد. وتمكنت كاسبرسكي من اكتشاف عدد من الأرشيفات الخادعة مع عناوين تشير إلى مختلف المراسيم الصادرة عن المنظمات ذات الصلة في تلك المناطق.

وما إن يُنزّل الضحية الأرشيف، وينقر على رابط الملف فيه، حتى تنتقل برمجية الباب الخلفي PowerMagic إلى جهازه. وعند اكتمال هذه الخطوة، يبدأ الباب الخلفي بتلقي الأوامر من ملف مخزن في خدمة تخزين سحابية عامة، وينفذ الأوامر المرسلة من الخادم، لتُحمَّل نتائج التنفيذ مرة أخرى وتُرسل إلى السحابة.

ويُثبِّت PowerMagic أيضًا نفسه في النظام، ليُفعَّل باستمرار عند بدء تشغيل الجهاز المصاب. وتمكن PowerMagic أيضًا من إصابة جميع الأهداف التي رصدتها كاسبرسكي بإطار العمل المعياري الذي أُطلق عليه اسم CommonMagic، مما يشير إلى احتمال نشر CommonMagic بواسطة PowerMagic، رغم عدم وضوح كيفية حدوث الإصابة من البيانات المتاحة.

وحتى وقت إعداد هذا التقرير، لم يُعثر على روابط مباشرة بين الكود والبيانات المستخدمة في هذه الحملة، أو أي روابط معروفة سابقًا. ولمّا كانت الحملة مستمرة في نشاطها مع استمرار التحقيق، يتوقع أن تكشف الأبحاث المستقبلية عن المزيد من المعلومات التي يمكن الاعتماد عليها في تحديد عوامل التهديد المعينة من هذه الحملة. وبالرجوع إلى علم الضحايا والإغراءات التي يقدمها المهاجمون، يبدو أن لديهم اهتمامًا محددًا يتعلق بالوضع الجيوسياسي السائد في منطقة الأزمة.

كاسبرسكي تكشف حملة شرسة تستهدف منظمات منطقة النزاع الروسي الأوكراني
سلسلة العدوى من إطار CommonMagic

وقال (ليونيد بيزفيرشينكو)، الباحث المتخصص بالشأن الأمني في الفريق العالمي للبحث والتحليل GReAT التابع لشركة كاسبرسكي: «تؤثر الأحداث الجيوسياسية في مشهد التهديدات الإلكترونية، كما تؤدي إلى ظهور تهديدات جديدة. لقد راقبنا أنشطة مرتبطة بالصراع بين روسيا وأوكرانيا منذ مدة طويلة، ويُعد هذا التهديد واحدًا من أحدث اكتشافاتنا. ومع أن البرمجيات الضارة والأساليب المستخدمة في حملة CommonMagic ليست معقدة على نحو خاص، يعد استخدام التخزين السحابي كبنية أساسية للقيادة والتحكم أمرًا جديرًا بالملاحظة، وهذا ما يدفعنا إلى مواصلة تحقيقنا، ونأمل أن نتمكن من التوصل إلى المزيد من النتائج حول هذه المسألة».

وحتى يتمكن المستخدمون من تجنب الوقوع ضحية لهجوم مستهدف من قِبل جهة تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع الإجراءات التالية:

  • تزويد فريق مركز العمليات الأمنية في الشركة بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات. وتعد البوابة الخاصة بمعلومات التهديدات من كاسبرسكي Kaspersky Threat Intelligence Portal نقطة شاملة لمعلومات التهديدات، ومتاحة للشركات؛ لأنها توفر لها بيانات الهجمات الإلكترونية والمعلومات التي جمعتها كاسبرسكي طوال 20 عامًا.
  • العمل على تطوير مهارات فريق الأمن السيبراني في الشركة، وإكسابهم المهارات اللازمة للتعامل مع أحدث التهديدات المستهدفة من خلال البرامج التدريبية التي توفرها كاسبرسكي عبر الإنترنت بعد تطويرها من قبل خبراء الفريق العالمي للبحث والتحليل GReAT التابع لشركة كاسبرسكي.
  • لاكتشاف مستوى الأمان في نقاط النهاية، وإجراء التحقيقات ومعالجة الحوادث في الوقت المناسب، ينصح بتنفيذ حلول الكشف عن نقطة النهاية والاستجابة لها Kaspersky Endpoint Detection and Response.
  • إضافة إلى اعتماد الحماية لنقطة النهاية الأساسية، يجب تطبيق حل أمان على مستوى الشركة للكشف عن التهديدات المتقدمة التي قد تصل إلى الشبكة في مرحلة مبكرة، مثل: منصة كاسبرسكي لمواجهة الهجمات المستهدفة Kaspersky Anti Targeted Attack Platform.
  • ولمّا كانت العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو غيرها من تقنيات الهندسة الاجتماعية الأخرى، يُنصح بإجراء تدريب على الوعي الأمني وعلم المهارات العملية لفريق العمل في الشركة، ومن ذلك على سبيل المثال، منصة كاسبرسكي للوعي الأمني الآلي Kaspersky Automated Security Awareness Platform.

زر الذهاب إلى الأعلى