اكتشف باحثو كاسبرسكي في الربع الثاني من العام الجاري إحدى الجهات التي تقف وراء التهديدات المتطورة المستمرة، وتستهدف بنشاط مجال العملات الرقمية. وهاجمت هذه الجهة التخريبية التي تقف وراء حملة جديدة شديدة النشاط، NaiveCopy، مستثمري الأسهم والعملات الرقمية في كوريا الجنوبية، مستخدمين محتوى مرتبطًا بالعملات الرقمية وتحذيرات من جهات إنفاذ القانون، في شكل طُعم للإيقاع بالضحايا. وكشف التحليل الإضافي لأساليب NaiveCopy وتكتيكاتها عن حملة أخرى ذات صلة نشطت العام الماضي في استهداف كيانات غير معروفة في كل من المكسيك وبريطانيا. تم الكشف عن هذه الحملة وغيرها من الاكتشافات الأخرى في الملخص ربع السنوي الصادر أخيرًا عن كاسبرسكي حول معلومات التهديدات.
وتغيّر الجهات الناشطة في مجال التهديدات المتقدمة المستمرة تكتيكاتها باستمرار، وتطوّر أدواتها وتبتكر تقنيات جديدة. ويقدّم فريق البحث والتحليل العالمي لدى كاسبرسكي تقارير ربع سنوية حول أهمّ التطورات الحاصلة على امتداد مشهد التهديدات المتقدمة المستمرة، لمساعدة المستخدمين والمؤسسات على مواكبة هذه التغييرات والبقاء على اطلاع على التهديدات المحتملة التي قد يواجهونها. ووضع الفريق تقرير توجّهات التهديدات المتطورة المستمرة في الربع الثاني من العام الجاري باستخدام أبحاث كاسبرسكي الخاصة حول معلومات التهديدات والمتضمنة للتطورات الرئيسة والحوادث الرقمية التي يرى الباحثون أنه ينبغي للجميع أن يكونوا على دراية بها.
وتُعدّ الحملة المكتشفة غير معتادة بالنظر إلى أن معظم الجهات التخريبية في مجال التهديدات المتقدمة المستمرة لا تسعى لتحقيق مكاسب مالية. واستخدمت الجهة محتوى وتحذيرات متعلقة بالعملات الرقمية صادرة عن جهات قانونية، واستغلوها في شكل “طُعم” لجذب ضحاياهم. وتضمنت سلاسل الإصابة حقن الملفات عن بُعد ببرمجيات خبيثة تبدأ بإصابة الجهاز على مراحل متعددة باستخدام Dropbox. وبعد إرسال معلومات الضحية، تحاول البرمجية الخبيثة جلب الحمولة الخبيثة الخاصة بالمرحلة النهائية.
وأتيحت أمام خبراء كاسبرسكي فرصة الحصول على حمولة المرحلة النهائية، والتي تتكون من عدّة وحدات تُستخدم لاستخراج المعلومات الحساسة من الضحية، ووجدوا بتحليلها عينات إضافية استُخدمت قبل عام في حملة أخرى شنتها على جهات في المكسيك وبريطانيا.
ولا يرى خبراء كاسبرسكي أي صِلات دقيقة بين هذه الحملة وجهات تخريبية معروفة، لكنهم وجدوا أنها على دراية باللغة الكورية واستخدمت تكتيكًا مشابهًا لتكتيك استخدمته في السابق مجموعة Konni لسرقة بيانات اعتماد الدخول إلى بوابة إنترنت كورية شهيرة. وتُعدّ مجموعة Konni جهة تهديد بدأت نشاطها منذ منتصف العام 2021، وتستهدف في الغالب جهات دبلوماسية روسية.
وقال ديفيد إم الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن الفريق شهد على مدار عدة أرباع متتالية توجيه الجهات الناشطة في مشهد التهديدات المتقدمة المستمرة انتباهها إلى مجال العملات الرقمية. وأضاف: “تسعى هذه الجهات إلى الحصول على المعلومات والمال عبر اللجوء إلى أساليب مختلفة، وهذا توجّه غير معتاد ولكنه متزايد في مشهد التهديدات المتقدمة المستمرّة، لذا فإن على المؤسسات أن تعزّز قدرتها على رؤية هذا المشهد بوضوح في سبيل التمكّن من التصدي للتهديدات. وتعتبر المعلومات المتعلقة بالتهديدات عنصرًا أساسيًا يتيح توقعًا موثوقًا به ومناسبًا لمثل هذه الهجمات”.
يمكن زيارة Securelist.com للاطلاع على التقرير الكامل عن توجهات التهديدات المتقدمة المستمرة في الربع الثاني من 2022.
ويوصي باحثو كاسبرسكي باتباع الإجراءات التالية لتجنّب الوقوع ضحية لهجوم موجّه تشنّه جهة تهديد معروفة أو غير معروفة:
- تزويد فريق مركز العمليات الأمنية بالقدرة على الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى معلومات التهديدات من كاسبرسكي، حيث بيانات الهجمات الرقمية والرؤى المتعمقة التي جمعتها الشركة على مدار خمس وعشرين عامًا. وقد أعلنت كاسبرسكي عن إتاحة المجال أمام المؤسسات للوصول مجانًا إلى معلومات مستقلة ومحدثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المتقدمة المستمرة، لمساعدتها على تمكين دفاعاتها، لا سيما في أوقات الأزمات. ويمكن التقدّم بطلب الحصول على الخدمة عبر الإنترنت.
- تحسين مهارات فريق الأمن الرقمي لتمكينهم من معالجة أحدث التهديدات الموجهة من خلال الدورات التدريبية التي تقدمها كاسبرسكي عبر الإنترنت والتي طورها خبراء فريق البحث والتحليل العالمي.
- استخدام حلّ للكشف عن التهديدات والاستجابة لها عند النقاط الطرفية على مستوى المؤسسات، مثل Kaspersky EDR Expert. ويمكن اكتشاف التهديدات الحقيقية الكامنة وسط أعداد هائلة من التنبيهات بفضل الدمج التلقائي للتنبيهات في الحوادث، إضافة إلى تحليل الحادث والاستجابة له بأكثر الطرق فاعلية.
- بالإضافة إلى اعتماد الحماية الأساسية للنقاط الطرفية، يوصى بتنفيذ حلّ أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، لاكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة.
- تقديم تدريب لرفع الوعي الأمني والمهارات العملية للموظفين، باستخدام أدوات مثل Kaspersky Automated Security Awareness Platform، نظرًا لأن العديد من الهجمات الموجهة تبدأ بأساليب الهندسة الاجتماعية، كالتصيد.