كشف فريق البحث والتحليل العالمي عن حملة سيبرانية خبيثة جديدة ومتقدمة أُطلق عليها اسم StrikeShark. وقد استهدفت عدداً من المؤسسات حول العالم من بينها جهات دبلوماسية في إندونيسيا، وهيئات حكومية في تايوان، إلى جانب شركات لتطوير البرمجيات ومؤسسات أخرى في هونغ كونغ ولبنان، وسوريا، وكولومبيا، ومقدونيا الشمالية، ونيبال، وصربيا.
حملة StrikeShark الجديدة
ويستخدم المهاجمون في هذه الحملة أداة تحميل برمجيات خبيثة جديدة وغير موثقة سابقاً تُدعى SharkLoader للتسلل إلى الأنظمة المستهدفة. ولا تربط كاسبرسكي هذه الحملة حالياً بأي جهة مختصة في التهديدات المستعصية المتقدمة تم معرفتها سابقاً، مع استمرارها في رصد النشاط المرتبط بها.
خلال الحملة التي كشف عنها فريق البحث والتحليل العالمي في كاسبرسكي عن تنوع الأساليب التي استخدمها المهاجمون للوصول الأولي إلى الأنظمة المستهدفة، حيث شملت استغلال ثغرات في تطبيقات متاحة عبر الإنترنت، مثل Microsoft Exchange، وMicrosoft SharePoint، وخوادم Openfire.
وفي حالات أخرى، عمد المهاجمون إلى نشر أدوات خبيثة متنكرة في صورة برامج موثوقة مثل Google Update وCisco AnyConnect. كما كشفت بعض العينات المحللة عن استخدام ملفات PDF كوسيلة لخداع المستخدمين، وحثهم على تثبيت البرمجيات الخبيثة على أجهزتهم دون علمهم.
التعقيد التقني في SharkLoader
ويبرز المستوى العالي من التعقيد التقني في SharkLoader مدى تطور تصميم هذه البرمجية الخبيثة واعتمادها على أساليب متقدمة للهجوم. فبعد اختراق الجهاز، تستخدم البرمجية تقنية DLL Side-Loading في عدد من تطبيقات ويندوز الموثوقة لتحميل وحدات خبيثة مشفرة.
وتتولى هذه الوحدات لاحقاً فك تشفير مكونات إضافية وتحميلها، حيث تُستخدم لتثبيت API Hooks بغرض تفادي أنظمة الكشف الأمنية، قبل أن تقوم بحقن أداة Cobalt Strike Beacon وتشغيلها. وتُستخدم هذه الأداة، التي طُورت أساساً لاختبارات الأمن السيبراني، بشكل متكرر من قبل المهاجمين لأغراض التحكم والسيطرة، وجمع المعلومات، والتحرك داخل الشبكات المخترقة، وسرقة البيانات.
وقد علّق فريد راضي، الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي قائلاً: «تعكس حملة StrikeShark طبيعة التهديدات الحديثة التي باتت تعتمد على الدمج بين أدوات هجومية متاحة للجميع، وبرمجيات خبيثة مخصصة، وأساليب متطورة لتجاوز أنظمة الحماية.
ويؤكد توظيف وسائل خداع تبدو قانونية واستغلال ثغرات معروفة ضرورة التزام المؤسسات بإدارة صارمة للتحديثات الأمنية، وتبني حلول متقدمة للكشف والاستجابة للتهديدات السيبرانية على مستوى الأجهزة الطرفية، وتكثيف برامج التدريب والتوعية الأمنية للموظفين.»
تتوفر تفاصيل إضافية حول هذه الحملة ضمن التقرير المنشور على الموقع التالي: Securelist.com.
وللحفاظ على مستوى عالٍ من الحماية، توصي كاسبرسكي باتباع الإجراءات التالية:
● تحديث البرامج والتطبيقات بانتظام لمعالجة الثغرات الأمنية المعروفة فوراً.
● استخدام حلول أمنية فعالة قادرة على اكتشاف البرمجيات الخبيثة وإحباط محاولات تحميلها وتشغيلها.
● التدريب المستمر للموظفين لرفع مستوى الوعي بالأمن السيبراني.
● تأمين الأجهزة والشبكات المؤسسية باستخدام حلول متكاملة للكشف المبكر عن الهجمات والتصدي لها.
● الاستفادة من المعلومات الاستخباراتية المتقدمة لمواكبة التهديدات المتطورة، واكتشاف الهجمات الجديدة في وقت مبكر، واتخاذ قرارات أمنية أكثر دقة استناداً إلى واحدة من أكبر قواعد بيانات المعرفة الأمنية في العالم.
تفاصيل حملة StrikeShark الجديدة
في عالم تملؤه الأحداث، تبرز تفاعل السعودية كمنصة تنبض بالقصص الملهمة وتمدكم بالعديد من الأخبار والتقارير عن السعودية التي تلامس شغفكم؛ فنحن لا ننقل الخبر فحسب، بل نبحث لكم عن الزوايا الفريدة التي تثري معرفتكم حول آخر المستجدات في الشأن السعودي.
ولأننا نؤمن بأن القارئ يستحق التميز، نبقى معكم لحظة بلحظة لنوافيكم بكل ما هو جديد وملهم.. ابقوا دائماً في قلب الحدث عبر منصتنا تفاعل السعودية.
https://tafaol.sa/129813/
