كشف خبراء كاسبرسكي النقاب عن حملة تهديدات متقدمة مستمرة شُنّت على نطاق واسع ضد مستخدمي أجهزة الحاسوب. واكتُشفت الحملة النادرة لأول مرة في جنوب شرق آسيا، حيث حدّدت كاسبرسكي ما يقرب من 1,500 ضحية أصيبت جرّاء هذه الحملة، بعضها كان مستخدمين لدى جهات حكومية.
وتُحدث الهجمات الإصابات الأولية عبر رسائل البريد الإلكتروني التي تُستخدم في التصيد الموجّه وتحتوي على مستند Word خبيث. وتستطيع البرمجية الخبيثة بمجرد أن تنزل على نظام واحد أن تنتشر إلى الأجهزة الأخرى عبر أقراص التخزين المحمولة المتصلة بمنفذ USB.
وتتسم حملات التهديدات المتقدمة المستمرة بكونها شديدة التوجيه؛ فلا تستهدف أحيانًا أكثر من بضع عشرات من المستخدمين، الذين يجري انتقاؤهم في الغالب بدقة شديدة. ومع ذلك، فقد كشفت كاسبرسكي النقاب عن حملة تهديدات نادرة وواسعة النطاق، تتبع أسلوبًا قلّما يتكرر في الهجوم.
فبمجرد أن تنزل البرمجية الخبيثة على النظام، تحاول إصابة أجهزة أخرى بالانتشار عبر أقراص التخزين المحمولة المتصلة بمنفذ USB. فإذا عثر النظام المصاب على قرص تخزين متصل بمنفذ USB فإنه يُنشئ عليه مجلدات مخفية ينقل عليها جميع ملفات الضحية والملفات التنفيذية الخبيثة.
ووُجد أن الحملة المسمّاة LuminousMoth تنفّذ هجمات تجسّس إلكتروني ضد جهات حكومية منذ أكتوبر 2020 على الأقل. وبينما ركز المهاجمون اهتمامهم في البداية على ميانمار، حولوا تركيزهم بعدها إلى الفلبين. ويسعى المهاجمون للحصول على موطئ قدم أوّلي في النظام من خلال التصيد عبر رسالة بريد إلكتروني باستخدام رابط يقود إلى أداة Dropbox التي تنزّل أرشيف RAR متخفيًا بهيئة ملف Word يحتوي على الحمولة الخبيثة.
وينسب خبراء كاسبرسكي حملة LuminousMoth إلى جماعة HoneyMyte التخريبية، وهي جهة تهديد ناطقة باللغة الصينية ومعروفة منذ فترة طويلة، وذلك بمستوى ثقة بين المتوسط والمرتفع. وتهتم HoneyMyte في الأساس بجمع المعلومات الجيوسياسية والاقتصادية في آسيا وإفريقيا.
ورأى مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي أن هذه الحملة الجديدة “ربما تشير مرة أخرى إلى توجّه شهدناه على مدار هذا العام، يتمثل في قيام جهات التهديد الناطقة بالصينية بإعادة التسلّح بالأدوات التخريبية وإنتاج برمجيات خبيثة جديدة وغير معروفة”.
من جانبها، وصفت الباحثة الأمنية في فريق البحث والتحليل العالمي، أسيل كيال، حجم الهجوم الهائل بـ “النادر”، معتبرة أن من اللافت أن تشهد الفلبين هجمات أكثر بكثير مما شهدته ميانمار. وقالت: “قد يعود هذا إلى استخدام أقراص USB وسيلة لنشر الإصابة، أو ربما يعود إلى وجود ناقل آخر لم ندرك بعد استخدامه في الفلبين”.
أما عضو فريق كاسبرسكي للبحث والتحليل العالمي، بول راسكاغنيريس، فأكّد تزايد نشاط الجهات التخريبية الناطقة بالصينية في العام الماضي. ورجّح ألاّ تكون هذه الحملة الأخيرة التي تنفذها LuminousMoth، وأن تبدأ الجماعة في تعزيز مجموعة أدواتها التخريبية، مؤكدًا أن كاسبرسكي ستراقب التطورات المستقبلية في هذا الصدد.
ويمكن الاطلاع على المزيد حول LuminousMoth على Securelist.
ويوصي خبراء كاسبرسكي باتباع التدابير التالية للبقاء في مأمن من حملات التهديد المتقدمة مثل LuminousMoth:
• تزويد الموظفين بالتدريب الأساسي على الأمن الرقمي، حيث تبدأ العديد من الهجمات الموجهة بمحاولات التصيد أو استغلال مبادئ الهندسة الاجتماعية الأخرى.
• إجراء تدقيق أمني على الشبكات ومعالجة أية ثغرات تُكتشف في محيط الشبكة أو داخلها.
• تثبيت حلول مكافحة “التهديدات المتقدمة المستمرة” و”الكشف عن التهديدات عند النقاط الطرفية والاستجابة لها”، ما يتيح إمكانية اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب.
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات وتزويده بالتدريب المهني المنتظم، وكل ما سبق متاح في Kaspersky Expert Security framework.
• الخدمات التخصصية تساعد في صدّ الهجمات عالية المستوى. ويمكن أن تساعد خدمة Kaspersky Managed Detection and Response المدارة على اكتشاف الهجمات وإيقافها في مراحلها الأولى قبل أن يحقق المهاجمون أهدافهم.