دبي: «الخليج»
أظهر أحدث تقرير من كاسبرسكي يتناول توجهات التهديدات المتقدمة المستمرة (APT) في الربع الأول من العام 2022، أن الجهات القائمة وراء هذه التهديدات كانت نشطة خلال الأشهر الثلاثة الأولى من العام. وأحدثت الحملات التخريبية التي نفذتها الجهات المعروفة والجديدة تغييرات كبيرة في مشهد التهديدات المتقدمة المستمرة. واستهدفت الجهات التخريبية في الغالب شركات وجهات حكومية، بعد أن أجرت تحديثات على أطقم الأدوات الخبيثة التي تستخدمها ونوّعت أساليبها لرفع مستوى هجماتها.
وواصل باحثو كاسبرسكي، خلال الأشهر الثلاثة الأولى من العام 2022، الكشف عن أدوات وتقنيات وحملات جديدة أطلقتها عصابات التهديدات المتقدمة المستمرة واستخدمتها في الهجمات الرقمية التي شنّتها في جميع أنحاء العالم. واستُخلص تقرير توجهات التهديدات المتقدمة المستمرة من أبحاث كاسبرسكي ومعلومات التهديدات التي تحصل عليها الشركة، علاوة على أبرز التطورات والحوادث الرقمية التي يرى الباحثون أن على الجميع إدراكها.
وطوال الربع الأول من العام الجاري، انشغلت الجهات التخريبية بإطلاق حملات جديدة وشنّ عدد من الهجمات المرتبطة بالأحداث الجيوسياسية الحساسة. وشملت أهم النتائج التي عرضها التقرير:
الأزمات الجيوسياسية محرك رئيس للتهديدات المتقدمة المستمرة
شهد مشهد التهديدات المتقدمة المستمرة العديد من الهجمات المرتبطة بالأزمة الأوكرانية. وأُبلغ عن هجمات HermeticRansom وDoubleZero وهجمات أخرى جديدة تستهدف جهات أوكرانية خلال شهري فبراير ومارس. وحدث ارتفاع كبير في مكونات البنية التحتية الجديدة التي وظفتها عصابات APT Gamaredon وUNC1151 (Ghostwriter). واستطاع باحثو كاسبرسكي تحديد عيّنتين من النموذج التجريبي WhisperGate جرى تطويرهما في ديسمبر 2021 وتحتويان على سلاسل اختبار ومراجعات سابقة لملاحظة الفدية الواردة في عينات من مايكروسوفت. وخلص الخبراء بثقة عالية إلى أن هذه العينات مثلت حالات تكرار سابقة لأداة المسح التي وردت تقارير عن استخدامها في أوكرانيا.
كذلك حدّد باحثو كاسبرسكي ثلاث حملات مرتبطة بجهة التهديد Konni، التي تنشط منذ منتصف العام 2021 في استهداف الكيانات الدبلوماسية الروسية. واستخدم المهاجمون غرسة Konni RAT نفسها خلال مختلف الحملات، لكن نواقل الهجوم كانت مختلفة في كل حملة، وتنوّعت بين مستندات تحتوي على وحدات ماكرو، وأداة تثبيت متستّرة في هيئة أحد تطبيقات المستخدمة في جائحة كورونا، وأداة تنزيل متخفية في حافظة شاشة للعام الجديد.
عودة الهجمات منخفضة المستوى
في العام الماضي، توقع باحثو كاسبرسكي أن تحظى الغرسات الخبيثة منخفضة المستوى بمزيد من التطوير في العام 2022. وجاء اكتشاف كاسبرسكي للغرسة الخبيثة Moonbounce ليؤكّد بوضوح هذا التوجه. فقد كانت هذه الغرسة الحالة الثالثة المعروفة والمستخدمة في الواقع لمجموعة أدوات البرمجيات الثابتة Bootkit التي تستهدف البرمجيات الثابتة. وأُخفيت هذه المجموعة البرمجية الخبيثة في الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI)، وهي جزء أساسي من أجهزة الحاسوب، وتحديدًا في الذاكرة الفلاشية SPI، مكون التخزين الواقع خارج القرص الصلب. ونسب خبراء كاسبرسكي هذه الحملة إلى عصابة التهديدات المتقدمة المستمرة المعروفة APT41.
جهات التهديد تلاحق العملات الرقمية
في هذا الربع، لاحظت كاسبرسكي أيضًا أن جهات التهديد تواصل السعي وراء العملات الرقمية. وبخلاف غالبية عصابات التهديدات المتقدمة المستمرة التي تحظى برعاية حكومية، فقد جعلت Lazarus، وعصابات أخرى، تحقيق المكاسب المالية أحد أهدافها الرئيسة. ووزّعت Lazarus في حملات لها تطبيق تمويل لامركزي (DeFi) مفخّخ بتروجان خطر سعيًا وراء زيادة الأرباح، إذ تُواصل العصابة استغلال التطبيقات الرسمية المستخدمة في إدارة محافظ العملات الرقمية وذلك بتوزيع برمجيات خبيثة تتيح التحكّم في أنظمة الضحايا.
التحديثات وإساءة استخدام الخدمات عبر الإنترنت
تواصل جهات التهديدات المتقدمة المستمرة البحث عن طرق جديدة لزيادة كفاءة هجماتها. وفي هذا السياق تستمر عصابة المرتزقة التي يطلق عليها اسم DeathStalker بتحديث أدواتها. وتُعدّ Janicab أقدَم برمجية خبيثة تقدّمها هذه العصابة، وذلك في العام 2013، وهي مثال بارز على هذا التوجه. وتُظهر Janicab الوظائف نفسها مثل عائلات البرمجيات الخبيثة المماثلة، ولكن بدلًا من تنزيل العديد من الأدوات لاحقًا خلال عملية الاختراق، مثلما اعتادت العصابة أن تفعل في عمليات EVILNUM وPowersing، تتضمن العينات الجديدة في داخلها معظم الأدوات مخفية ضمن أداة الإسقاط. كذلك تستخدم DeathStalker أكبر الخدمات عبر الإنترنت في العالم، مثل YouTube وGoogle+ وWordPress وغيرها، مثل أدوات DDRs لتنفيذ عمليات قيادة وسيطرة خفية وفعالة.
ويلخص تقرير توجهات التهديدات المتقدمة المستمرة للربع الأول من العام 2022 نتائج تقارير المعلومات الخاصة بالتهديدات والواردة من المشتركين في خدمات كاسبرسكي فقط، وتتضمن أيضًا بيانات مؤشرات الاختراق وقواعد YARA للمساعدة في البحث الجنائي واصطياد البرمجيات الخبيثة.
