كاسبرسكي تكشف عن حملة جديدة لمجموعة Lazarus التي تستهدف المؤسسات في جميع أنحاء العالم

كشف فريق البحث والتحليل العالمي (GReAT) في شركة كاسبرسكي عن حملة جديدة من مجموعة Lazarus السيئة السمعة التي تستهدف المؤسسات في جميع أنحاء العالم. وشمل البحث الذي قدمه خبراء كاسبرسكي في قمة المحللين الأمنيين (SAS) حملة تهديدات متقدمة مستمرة، تُوزع عبر برمجية خبيثة، وتُنشر عبر البرامج الشرعية.

فقد اكتشف فريق البحث والتحليل العالمي سلسلة من الحوادث السيبرانية التي تضمنت إصابة أهداف عبر برامج شرعية مصممة لتشفير اتصالات الويب باستخدام الشهادات الرقمية. ولا تزال المنظمات حول العالم تستخدم الإصدار المصاب من البرنامج، وهو ما يوفر نقطة دخول لمجموعة Lazarus، مع الإبلاغ عن الثغرات وتصحيحها.

أظهرت المجموعة مستوى عاليًا من التطور، حيث استخدمت تقنيات التهرب المتقدمة وفعّلت برمجية (SIGNBT) الخبيثة للسيطرة على الضحية. كما استخدمت المجموعة أداة LPEClient المعروفة جيدًا، التي شوهدت سابقًا في عمليات استهداف لكل من مقاولي قطاع الدفاع والمهندسين النوويين وقطاع العملات المشفرة.

تعمل هذه البرمجية الخبيثة كنقطة انتشار للعدوى، وتؤدي دورًا مهمًا في تحديد سمات الضحية وإيصال الحمولة. وتشير ملاحظات باحثي كاسبرسكي إلى أن دور أداة LPEClient في هذه الهجمات وغيرها يتماشى مع أساليب مجموعة Lazarus، كما رأينا أيضًا في هجوم سلسلة التوريد الشهير الذي استهدف شركة 3CX.

كشفت التحقيقات الإضافية أن البرمجية الخبيثة التي أطلقتها مجموعة Lazarus قد استهدفت أولى ضحاياها، وهي شركة تزويد بالبرمجيات، في عدة مناسبات حتى الآن. يشير هذا النمط من الهجمات المتكررة إلى كون المجموعة مصممة ومركّزة بشدة، ومن المحتمل أن يكون القصد هو سرقة الكود المصدري الشديد الأهمية أو تعطيل سلسلة توريد البرمجيات.

استغل مصدر التهديد الثغرات في برمجيات الشركة ووسع من تأثيرها؛ عبر استهداف الشركات الأخرى التي استخدمت الإصدار غير المصحح من البرنامج. وقد تعرفت خدمة Endpoint Security من كاسبرسكي التهديدَ بشكل استباقي، ومنعت بذلك المزيد من الهجمات ضد أهداف أخرى.

وتعليقًا على الحملة، قال سيونغسو بارك، وهو باحث أمني رئيسي في فريق البحث والتحليل العالمي في كاسبرسكي: “إن النشاط المستمر لمجموعة Lazarus هو شهادة على قدراتها المتقدمة ومحفزاتها التي لا تتزعزع. إذ تعمل المجموعة على مستوىً عالمي، وتستهدف مجالًا واسعًا من القطاعات بمجموعة متنوعة من الأساليب. ويشير ذلك إلى تهديد مستمر ودائم التطور يتطلب مزيدًا من اليقظة”.

لمعرفة المزيد من التفاصيل حول هذه الحملة الخبيثة، يمكنك زيارة موقع SecureList.com.

وصايا خبراء كاسبرسكي لتجنب هجمات هذه المجموعة:

لتتجنب أن تقع ضحية هجوم مستهدف من مصدر تهديد معروف أو غير معروف، يوصي باحثو كاسبرسكي باتباع التدابير التالية:

• حدّث نظام التشغيل، والتطبيقات، وبرمجيات الحماية من الفيروسات بانتظام لتصحيح أي ثغرات أمنية معروفة.
• احذر رسائل البريد الإلكتروني، أو الرسائل النصية، أو المكالمات التي تطلب معلومات حساسة. وتحقق من هوية المرسل قبل مشاركة أي تفاصيل شخصية أو النقر على الروابط المشبوهة.
• زود فريق مركز العمليات الأمني الخاص بك بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعد منصة The Kaspersky Threat Intelligence Portal نقطة وصول موحدة لمعلومات التهديدات، كما توفر بيانات الهجمات السيبرانية والمعلومات التي جمعتها كاسبرسكي خلال أكثر من 20 عامًا.
• درب فريق الحماية السيبرانية الخاص بك لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من كاسبرسكي، التي طورها خبراء فريق البحث والتحليل العالمي.
• لاكتشاف الحوادث على مستوى النقاط الطرفية والتحقيق فيها وحلّها في الوقت المناسب، طبّق حلول الاكتشاف والاستجابة للنقاط الطرفية مثل Kaspersky Endpoint Detection and Response.