أظهر أحدث تقرير من كاسبرسكي يتناول توجهات التهديدات المتقدمة المستمرة (APT) في الربع الأول من العام 2022، أن الجهات القائمة وراء هذه التهديدات كانت نشطة خلال الأشهر الثلاثة الأولى من العام. وأحدثت الحملات التخريبية التي نفذتها الجهات المعروفة والجديدة تغييرات كبيرة في مشهد التهديدات المتقدمة المستمرة. واستهدفت الجهات التخريبية في الغالب شركات وجهات حكومية، بعد أن أجرت تحديثات على أطقم الأدوات الخبيثة التي تستخدمها ونوّعت أساليبها لرفع مستوى هجماتها.
وواصل باحثو كاسبرسكي، خلال الأشهر الثلاثة الأولى من العام 2022، الكشف عن أدوات وتقنيات وحملات جديدة أطلقتها عصابات التهديدات المتقدمة المستمرة واستخدمتها في الهجمات الرقمية التي شنّتها في جميع أنحاء العالم. واستُخلص تقرير توجهات التهديدات المتقدمة المستمرة من أبحاث كاسبرسكي ومعلومات التهديدات التي تحصل عليها الشركة، علاوة على أبرز التطورات والحوادث الرقمية التي يرى الباحثون أن على الجميع إدراكها.
وطوال الربع الأول من العام الجاري، انشغلت الجهات التخريبية بإطلاق حملات جديدة وشنّ عدد من الهجمات المرتبطة بالأحداث الجيوسياسية الحساسة. وشملت أهم النتائج التي عرضها التقرير:
الأزمات الجيوسياسية محرك رئيس للتهديدات المتقدمة المستمرة
شهد مشهد التهديدات المتقدمة المستمرة العديد من الهجمات المرتبطة بالأزمة الأوكرانية. وأُبلغ عن هجمات HermeticRansom وDoubleZero وهجمات أخرى جديدة تستهدف جهات أوكرانية خلال شهري فبراير ومارس. وحدث ارتفاع كبير في مكونات البنية التحتية الجديدة التي وظفتها عصابات APT Gamaredon وUNC1151 (Ghostwriter). واستطاع باحثو كاسبرسكي تحديد عيّنتين من النموذج التجريبي WhisperGate جرى تطويرهما في ديسمبر 2021 وتحتويان على سلاسل اختبار ومراجعات سابقة لملاحظة الفدية الواردة في عينات من مايكروسوفت. وخلص الخبراء بثقة عالية إلى أن هذه العينات مثلت حالات تكرار سابقة لأداة المسح التي وردت تقارير عن استخدامها في أوكرانيا.
كذلك حدّد باحثو كاسبرسكي ثلاث حملات مرتبطة بجهة التهديد Konni، التي تنشط منذ منتصف العام 2021 في استهداف الكيانات الدبلوماسية الروسية. واستخدم المهاجمون غرسة Konni RAT نفسها خلال مختلف الحملات، لكن نواقل الهجوم كانت مختلفة في كل حملة، وتنوّعت بين مستندات تحتوي على وحدات ماكرو، وأداة تثبيت متستّرة في هيئة أحد تطبيقات المستخدمة في جائحة كورونا، وأداة تنزيل متخفية في حافظة شاشة للعام الجديد.
عودة الهجمات منخفضة المستوى
في العام الماضي، توقع باحثو كاسبرسكي أن تحظى الغرسات الخبيثة منخفضة المستوى بمزيد من التطوير في العام 2022. وجاء اكتشاف كاسبرسكي للغرسة الخبيثة Moonbounce ليؤكّد بوضوح هذا التوجه. فقد كانت هذه الغرسة الحالة الثالثة المعروفة والمستخدمة في الواقع لمجموعة أدوات البرمجيات الثابتة Bootkit التي تستهدف البرمجيات الثابتة. وأُخفيت هذه المجموعة البرمجية الخبيثة في الواجهة الموحدة والموسّعة للبرمجيات الثابتة (UEFI)، وهي جزء أساسي من أجهزة الحاسوب، وتحديدًا في الذاكرة الفلاشية SPI، مكون التخزين الواقع خارج القرص الصلب. ونسب خبراء كاسبرسكي هذه الحملة إلى عصابة التهديدات المتقدمة المستمرة المعروفة APT41.
جهات التهديد تلاحق العملات الرقمية
في هذا الربع، لاحظت كاسبرسكي أيضًا أن جهات التهديد تواصل السعي وراء العملات الرقمية. وبخلاف غالبية عصابات التهديدات المتقدمة المستمرة التي تحظى برعاية حكومية، فقد جعلت Lazarus، وعصابات أخرى، تحقيق المكاسب المالية أحد أهدافها الرئيسة. ووزّعت Lazarus في حملات لها تطبيق تمويل لامركزي (DeFi) مفخّخ بتروجان خطر سعيًا وراء زيادة الأرباح، إذ تُواصل العصابة استغلال التطبيقات الرسمية المستخدمة في إدارة محافظ العملات الرقمية وذلك بتوزيع برمجيات خبيثة تتيح التحكّم في أنظمة الضحايا.
التحديثات وإساءة استخدام الخدمات عبر الإنترنت
تواصل جهات التهديدات المتقدمة المستمرة البحث عن طرق جديدة لزيادة كفاءة هجماتها. وفي هذا السياق تستمر عصابة المرتزقة التي يطلق عليها اسم DeathStalker بتحديث أدواتها. وتُعدّ Janicab أقدَم برمجية خبيثة تقدّمها هذه العصابة، وذلك في العام 2013، وهي مثال بارز على هذا التوجه. وتُظهر Janicab الوظائف نفسها مثل عائلات البرمجيات الخبيثة المماثلة، ولكن بدلًا من تنزيل العديد من الأدوات لاحقًا خلال عملية الاختراق، مثلما اعتادت العصابة أن تفعل في عمليات EVILNUM وPowersing، تتضمن العينات الجديدة في داخلها معظم الأدوات مخفية ضمن أداة الإسقاط. كذلك تستخدم DeathStalker أكبر الخدمات عبر الإنترنت في العالم، مثل YouTube وGoogle+ وWordPress وغيرها، مثل أدوات DDRs لتنفيذ عمليات قيادة وسيطرة خفية وفعالة.
وقال ديفيد إم، الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن الجغرافيا السياسية ظلّت دائمًا أحد المحركات الرئيسة لهجمات التهديدات الرقمية المستمرة. وأضاف: “نعيش في أوقات مضطربة وهذا واضح من منظور الأمن الرقمي أيضًا. ويمكننا أن نرى أن الربع الأول من العام الجاري مضى كالمعتاد لكثير من الجهات التخريبية الناشطة في مجال التهديدات المتقدمة المستمرة، التي واصلت تحديث أدواتها وإطلاق الحملات للحصول على المعلومات والمال، ما يستدعي من الشركات والمؤسسات أن تبقى في حالة تأهب دائمة وتحرص على أن تكون مسلّحة بمعلومات التهديدات والأدوات المناسبة للحماية من التهديدات الحالية والناشئة”
ويلخص تقرير توجهات التهديدات المتقدمة المستمرة للربع الأول من العام 2022 نتائج تقارير المعلومات الخاصة بالتهديدات والواردة من المشتركين في خدمات كاسبرسكي فقط، وتتضمن أيضًا بيانات مؤشرات الاختراق وقواعد YARA للمساعدة في البحث الجنائي واصطياد البرمجيات الخبيثة. ويمكن مراسلة كاسبرسكي عبر البريد الإلكتروني: intelreports@kaspersky.com لمزيد من المعلومات.
وكان فريق البحث والتحليل العالمي التابع لكاسبرسكي قدّم في وقت سابق من الربع الأول من هذا العام عرضًا توضيحيًا في ندوة حول الهجمات الرقمية في أوكرانيا، بما فيها أحدث أنشطة التهديدات المتقدمة المستمرة. ويمكن مشاهدة تسجيل الندوة وملخص لها.
يمكن الاطلاع على التقرير الكامل في Securelist.com.
ويوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية لتجنب الوقوع ضحية لهجوم موجّه قد تشنه إحدى جهات التهديدات المعروفة أو غير المعروفة:
- تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى هذه المعلومات، حيث تتاح بيانات الهجمات الرقمية والأفكار التي جمعتها Kaspersky على مدار أكثر من 20 عامًا. ولمساعدة الشركات على تمكين الدفاعات الفعالة في هذه الأوقات المضطربة، أعلنت كاسبرسكي عن إمكانية الوصول مجانًا إلى معلومات مستقلة ومحدثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المستمرة.
- صقل مهارات فريق الأمن الرقمي لتمكينه من التعامل مع أحدث التهديدات الموجّهة من خلال الدورات التدريبية التي طورها فريق البحث والتحليل العالمي وتقدمها كاسبرسكي عبر الإنترنت.
- تنفيذ حلول EDR مثل Kaspersky Endpoint Detection and Response، للكشف عن التهديدات والحوادث عند النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
- تنفيذ حل أمني مؤسسي، مثل Kaspersky Anti Targeted Attack Platform، للكشف عن التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة.
- تقديم تدريب على الوعي الأمني والمهارات العملية، من خلال Kaspersky Automated Security Awareness Platform نظرًا لأن العديد من الهجمات المستهدفة تبدأ بالتصيّد أو بتقنيات الهندسة الاجتماعية الأخرى.