اكتشفت كاسبرسكي تعرض وحدة تخزين USB آمنة للاختراق من خلال كود خبيث تم زرعه في برمجية إدارة الوصول الخاصة بها.

مصر,أمريكا,الاتصالات,إفريقيا,روسيا,المالية,البريد,الشرق الأوسط,كاسبرسكي,الأمريكية,2022,برمجيات خبيثة,المتحدة

الجمعة 27 ديسمبر 2024 - 04:24

كاسبرسكي تكشف عن الاتجاهات الرئيسية في تقرير التهديدات المتقدمة المستمرة للربع الثالث من عام 2024

كاسبرسكي
كاسبرسكي

اكتشفت كاسبرسكي تعرض وحدة تخزين USB آمنة للاختراق من خلال كود خبيث تم زرعه في برمجية إدارة الوصول الخاصة بها. طُورت وحدة التخزين هذه بواسطة جهة حكومية في جنوب شرق آسيا لتخزين ونقل الملفات بشكل آمن بين الأجهزة في البيئات الحساسة. وصُمم الكود الخبيث، والذي تم زرعه في وحدة التخزين هذه، لسرقة الملفات السرية المخزنة في القسم الآمن منها، بالإضافة إلى عمله كدودة برمجية تنتشر لتصيب وحدات تخزين USB أخرى من نفس النوع. في حين يتشابه هذا التكتيك مع اختراق وحدات تخزين USB التي استخدمت برمجية الإدارة UTetris العام الماضي، والذي نسبته كاسبرسكي إلى مجموعة TetrisPhantom، إلا أن الشيفرة الخبيثة المزروعة في وحدة التخزين في الحادثة الأخيرة كانت جديدة. يتضمن أحدث تقرير لكاسبرسكي حول توجهات التهديدات المتقدمة المستمرة في الربع الثالث من هذا العام تحليلاً للبرنامج المستخدم في هذا الهجوم والذي يدير وحدات USB المزودة ببرمجيات حصان طروادة، فضلاً عن التوجهات الأخرى في الأدوات التي تستخدمها مجموعات المجرمين السيبرانيين لإجراء الهجمات في جميع أنحاء العالم.



أبرز النتائج التي تناولها تقرير كاسبرسكي للتهديدات المتقدمة المستمرة للربع الثالث ما يلي:

آسيا

• اكتشفت كاسبرسكي أساليب هجوم جديدة استخدمت إطار الهجوم P8، والذي استُخدم سابقاً لاستهداف منظمات فيتنامية. حدثت معظم الإصابات في المؤسسات المالية في فيتنام، مع وجود ضحية واحدة نشطة في قطاع التصنيع.

آسيا، وتركيا، وأوروبا، وروسيا

• تستهدف حملة التهديدات المتقدمة المستمرة Awaken Likho النشطة منذ يوليو 2021 على الأقل، بشكل رئيسي المؤسسات الحكومية والمقاولين. حتى الآن، اكتشفت الشركة أكثر من 120 هدفاً في روسيا، والهند، والصين، وفيتنام، وتايوان، وتركيا، وسلوفاكيا، والفلبين، وأستراليا، وسويسرا، وجمهورية التشيك، وغيرها. بينما اعتمد المهاجمون سابقاً على استخدام أداة الإدارة عن بُعد المشروعة UltraVNC، في حملة لا تزال مستمرة تم الكشف عنها في شهر يونيو 2024، إلا أنهم قاموا بتغيير الحمولة النهائية من أداة UltraVNC لأداة MeshAgent، وهي أداة أخرى للإدارة عن بُعد تستخدم خادم إدارة عن بُعد مفتوح المصدر.

إفريقيا وآسيا

• تم اكتشاف الباب الخلفي Scieron، وهو أداة تُستخدم عادةً في حملات التجسس السيبراني بواسطة مجموعة Scarab، في حملة جديدة استهدفت جهةً حكوميةً في إفريقيا ومزود لخدمات الاتصالات في آسيا الوسطى. الشرق الأوسط • استهدفت مجموعة MuddyWater، وهي مصدر تهديدات متقدمة مستمرة ظهرت في عام 2017، بشكل أساسي دولاً في الشرق الأوسط، وأوروبا، والولايات المتحدة الأمريكية. وقد كشفت كاسبرسكي مؤخراً عن برمجيات خبيثة قائمة على مكتبات VBS/DLL استخدمتها مجموعة MuddyWater في تنفيذ اختراقات، والتي لا تزال نشطة حتى الآن. تم العثور على البرمجيات الخبيثة في العديد من الجهات الحكومية وشركات الاتصالات في مصر، وكازاخستان، والكويت، والمغرب، وعمان، وسوريا، والإمارات العربية المتحدة. • تستهدف مجموعة Tropic Trooper، وهي مصدر تهديدات متقدمة مستمرة تُعرف باسم KeyBoy وPirate Panda بدأت نشاطها منذ عام 2011، بشكل أساسي الجهات الحكومية، بجانب قطاعات الرعاية الصحية، والنقل، والتكنولوجيا المتقدمة في تايوان، والفلبين، وهونغ كونغ. وكشف التحليل الأحدث لكاسبرسكي أنه في عام 2024، نفذت المجموعة هجمات استهدفت جهة حكومية في مصر. حيث اكتُشف مكون هجوم يُفترض أنه استُخدم بواسطة فاعلين ناطقين باللغة الصينية.

روسيا

• في عام 2021، اكتشفت كاسبرسكي حملة تُدعى ExCone استهدفت جهات حكومية في روسيا باستخدام ثغرات في مشغل الوسائط VLC. ولاحقاً، تم العثور على ضحايا في مناطق أوروبا، وآسيا الوسطى، وجنوب شرق آسيا. وقد شهد عام 2022 بدء استخدام رسائل البريد الإلكتروني التصيدية كوسيلة للإصابة، وتم نشر نسخة محدثة من برمجية حصان طروادة Pangolin. وفي منتصف شهر يوليو 2024، لجأ مصدر التهديد لتضمين محمّل JavaScript كوسيلة أولية للإصابة، واستخدمه في مهاجمة المؤسسات التعليمية في روسيا.

أمريكا اللاتينية وآسيا

• في يونيو، حددت كاسبرسكي حملةً نشطةً تُدعى PassiveNeuron استهدفت جهات حكومية في أمريكا اللاتينية وشرق آسيا باستخدام برمجيات خبيثة غير معروفة مسبقاً. فقد تعرضت الخوادم للاختراق قبل تثبيت برمجيات الأمان. ولا تزال طريقة الإصابة غير معروفة. لا تشبه أكواد البرمجيات الخبيثة المستخدمة في هذه العملية نظيرتها الخاصة بالبرمجيات الخبيثة المعروفة، مما يجعل تحديد الجهة المسؤولة عن الهجوم غير ممكن في الوقت الحالي. وتظهر الحملة مستوى عالٍ جداً من التعقيد. قال ديفيد إيم، باحث أمني رئيسي لدى كاسبرسكي: «خلال عام 2024، تمكنت كاسبرسكي من اكتشاف وحظر 3 مليار تهديد محلي على مستوى العالم. يُعد اختراق البرمجيات على وحدات تخزين USB الآمنة أمراً غير معتاد، ولكنه يبرز حقيقة أن المساحات الرقمية المحلية المحمية يمكن اختراقها بواسطة أساليب متقدمة. يعمل المجرمون السيبرانيون باستمرار على تحديث مجموعة أدواتهم وتوسيع نطاق أنشطتهم، مما يوسع نطاق أهدافهم، سواء كان ذلك من حيث المجالات المستهدفة أو جغرافياً. كما نلاحظ استخدام المزيد من الأدوات مفتوحة المصدر من قبل مصادر التهديدات المتقدمة المستمرة».