سامسونج ICT 2024
إعلان إي فينانس
المصرية للاتصالات Cairo ICT 2024
المصرية للاتصالات Cairo ICT 2024

عصابة GhostEmperor الناطقة بالصينية أوقعت ضحايا بارزين باستخدام روتكيت مجهول

تواصل الجهات الواقفة وراء التهديدات المتقدمة المستمرة بحثها عن طرق أحدث وأساليب أكثر تعقيدًا لتنفيذ هجماتها، ما يدفع بباحثي كاسبرسكي إلى مراقبة تلك الجهات والتعرف على الطرق التي تسلكها لتحديث أساليبها وتطوير مجموعات أدواتها. وأظهر تقرير فصلي صادر عن كاسبرسكي أن مشهد التهديدات الرقمية شهد زيادة في الهجمات التي استهدفت النظام Microsoft Exchange Server في الربع الثاني من العام 2021.

وكشفت كاسبرسكي في التقرير الحديث المعنون بـ “التهديدات المتقدمة المستمرة 2021″، عن تفاصيل عملية فريدة طويلة الأمد تقف وراءها عصابة GhostEmperor، استغلّت ثغرات في نظام خادم البريد الإلكتروني من شركة مايكروسوفت في استهداف جهات بارزة بمجموعة أدوات متقدمة لا تتشابه مع الأدوات المستخدمة من قبل أية جهة من جهات التهديد المعروفة.

وتُعدّ العصابة GhostEmperor جهة تهديد ناطقة باللغة الصينية اكتشفها باحثو كاسبرسكي، وينصبّ تركيزها في الغالب على أهداف في جنوب شرق آسيا، بينها العديد من الجهات الحكومية وشركات الاتصالات.

وتتميز هذه العصابة باستخدام برمجية من نوع “روتكيت” Rootkit تستهدف وضعية النواة kernel-mode في نظام التشغيل ويندوز، وهذه البرمجية لم تكن معروفة في السابق. وتتيح برمجيات “روتكيت”، التي يعني اسمها حرفيًا “أطقم التجذير”، القدرة على التحكم عن بُعد بالخوادم التي تستهدفها، وهي قادرة بطبيعتها على التخفي عن أعين المحققين وحلول الأمن الرقمي. واستخدمت عصابة GhostEmperor مخطط تحميل يتضمن مكونًا سليمًا مفتوح المصدر يسمى Cheat Engine للتمكّن من تجاوز آلية Windows Driver Signature Enforcement الخاصة بالتحقق من سلامة البرمجيات في ويندوز.

ووجد باحثو كاسبرسكي أن مجموعة الأدوات المتقدمة هذه فريدة من نوعها، في حين لم يروا أي تقارب أو تشابه بينها وبين أية أدوات مستخدمة من الجهات التخريبية المعروفة في مجال التهديدات الرقمية. وتوقع الخبراء أن تكون مجموعة الأدوات هذه مستخدمة منذ يوليو 2020 على أقل تقدير.

وقال ديفيد إم خبير الأمن لدى كاسبرسكي، إنه كلما تطورت تقنيات الكشف عن التهديدات الرقمية والحماية منها، تطورت الجهات التخريبية ورفعت قدراتها، مشيرًا إلى أنها تحرص في العادة من أجل تحقيق هذا الأمر على تحديث مجموعة أدواتها. وأضاف: “تُعدّ عصابة GhostEmperor مثالًا واضحًا على مساعي مجرمي الإنترنت للحصول على تقنيات جديدة يلجأون إليها وثغرات جديدة يستغلونها. واستطاعت هذه العصابة باستخدام برمجية “روتكيت” كانت مجهولة في السابق، أن تضيف مزيدًا من المشاكل إلى مشهد التهديدات القوي والزاخر أصلًا بالهجمات ضد خوادم Microsoft Exchange”.

وسلّط خبراء كاسبرسكي الضوء أيضًا على توجّهات أخرى برزت في مشهد التهديدات المتقدمة المستمرة في الربع الثاني من العام الجاري، وشملت:
• حدوث ارتفاع في استغلال الجهات التخريبية للثغرات في سبيل الحصول على موطئ قدم في الشبكات المستهدفة، ومن ذلك هجمات “أيام الصفر” التي طورتها Moses وهجمات عملية PuzzleMaker وهجمات Pulse Secure واستغلال الثغرات في خوادم Microsoft Exchange.
• مواصلة الجهات التخريبية التي تقف وراء التهديدات المتقدمة المستمرة الاستثمار في تحديث مجموعات أدواتها، ولا يشمل ذلك الاكتفاء بتضمين منصات جديدة وإنما يشمل أيضًا استخدام لغات إضافية، كما يتضح من البرمجية الخبيثة Python من WildPressure والقادرة على إصابة النظام macOS.
• بينما اتسمت بعض الهجمات التي استهدفت سلاسل التوريد بكونها كبيرة، وبأنها استقطبت اهتمامًا عالميًا، لاحظ خبراء كاسبرسكي أيضًا وجود هجمات حققت القدر نفسه من النجاح بالرغم من كونها منخفضة التقنية، مثل BountyGlad وCoughingDown والهجوم الذي يستهدف Codecov، وهي هجمات تشير إلى أن الحملات منخفضة المستوى ما زالت تمثل تهديدًا أمنيًا بالغًا.

ويمكن الاطلاع على معلومات أوفى عن GhostEmperor والاكتشافات المهمة الأخرى التي وردت في تقرير كاسبرسكي الفصلي حول توجهات التهديدات المتقدمة المستمرة في الربع الثاني من 2021: APT trends report Q2 2021 on Securelist.

ويُلخص التقرير نتائج التقارير الخاصة بمعلومات التهديدات والمتاحة حصريًا للمشتركين في خدمة كاسبرسكي، والتي تتضمن أيضًا بيانات مؤشرات الاختراق وقواعد YARA، للمساعدة في عمليات التحقيق والبحث الجنائي الرقمي ومطاردة البرمجيات الخبيثة. ويمكن التواصل عبر البريد الإلكتروني intelreports@kaspersky.com لمعلومات أوفى.

هذا، وتوصي كاسبرسكي باتباع التدابير التالية للحماية من تهديدات الجهات التخريبية المعروفة والمجهولة:

• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية. ويمكن الوصول مجانًا إلى مزايا المنصة التي تمكّن المستخدمين من فحص الملفات وعناوين الويب وعناوين بروتوكول الإنترنت.
• صقل مهارات فريق الأمن الرقمي لتمكينه من التعامل مع أحدث التهديدات الموجهة، وذلك من خلال برنامج التدريب المتخصص عبر الإنترنت الذي وضعه فريق البحث والتحليل العالمي لدى كاسبرسكي.
• تنفيذ حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب.
• تنفيذ حل أمني مؤسسي شامل يكون قادرًا على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• ينبغي تزويد الموظفين بالتدريب على الوعي الأمني الرقمي وإكسابهم المهارات العملية اللازمة من خلال منصة Kaspersky Automated Security Awareness Platform، نظرًا لأن العديد من الهجمات الموجهة تبدأ بالتصيد وتعتمد على مبادئ وأساليب الهندسة الاجتماعية.

اترك تعليقا