حملة StrikeShark الجديدة تستهدف مؤسسات في آسيا وأمريكا اللاتينية وأوروبا

كشف فريق البحث والتحليل العالمي في كاسبرسكي عن حملة سيبرانية خبيثة جديدة ومتقدمة أُطلق عليها اسم StrikeShark. وقد استهدفت عدداً من المؤسسات حول العالم من بينها جهات دبلوماسية في إندونيسيا، وهيئات حكومية في تايوان، إلى جانب شركات لتطوير البرمجيات ومؤسسات أخرى في هونغ كونغ ولبنان، وسوريا، وكولومبيا، ومقدونيا الشمالية، ونيبال، وصربيا. ويستخدم المهاجمون في هذه الحملة أداة تحميل برمجيات خبيثة جديدة وغير موثقة سابقاً تُدعى SharkLoader للتسلل إلى الأنظمة المستهدفة. ولا تربط كاسبرسكي هذه الحملة حالياً بأي جهة مختصة في التهديدات المستعصية المتقدمة تم معرفتها سابقاً، مع استمرارها في رصد النشاط المرتبط بها.
خلال الحملة تنوعت الأساليب التي استخدمها المهاجمون للوصول الأولي إلى الأنظمة المستهدفة، حيث شملت استغلال ثغرات في تطبيقات متاحة عبر الإنترنت، مثل Microsoft Exchange، وMicrosoft SharePoint، وخوادم Openfire. وفي حالات أخرى، عمد المهاجمون إلى نشر أدوات خبيثة متنكرة في صورة برامج موثوقة مثل Google Update وCisco AnyConnect. كما كشفت بعض العينات المحللة عن استخدام ملفات PDF كوسيلة لخداع المستخدمين، وحثهم على تثبيت البرمجيات الخبيثة على أجهزتهم دون علمهم.
ويبرز المستوى العالي من التعقيد التقني في SharkLoader مدى تطور تصميم هذه البرمجية الخبيثة واعتمادها على أساليب متقدمة للهجوم. فبعد اختراق الجهاز، تستخدم البرمجية تقنية DLL Side-Loading في عدد من تطبيقات ويندوز الموثوقة لتحميل وحدات خبيثة مشفرة. وتتولى هذه الوحدات لاحقاً فك تشفير مكونات إضافية وتحميلها، حيث تُستخدم لتثبيت API Hooks بغرض تفادي أنظمة الكشف الأمنية، قبل أن تقوم بحقن أداة Cobalt Strike Beacon وتشغيلها. وتُستخدم هذه الأداة، التي طُورت أساساً لاختبارات الأمن السيبراني، بشكل متكرر من قبل المهاجمين لأغراض التحكم والسيطرة، وجمع المعلومات، والتحرك داخل الشبكات المخترقة، وسرقة البيانات.
وقد علّق فريد راضي، الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي قائلاً: «تعكس حملة StrikeShark طبيعة التهديدات الحديثة التي باتت تعتمد على الدمج بين أدوات هجومية متاحة للجميع، وبرمجيات خبيثة مخصصة، وأساليب متطورة لتجاوز أنظمة الحماية. ويؤكد توظيف وسائل خداع تبدو قانونية واستغلال ثغرات معروفة ضرورة التزام المؤسسات بإدارة صارمة للتحديثات الأمنية، وتبني حلول متقدمة للكشف والاستجابة للتهديدات السيبرانية على مستوى الأجهزة الطرفية، وتكثيف برامج التدريب والتوعية الأمنية للموظفين.»
تتوفر تفاصيل إضافية حول هذه الحملة ضمن التقرير المنشور على الموقع التالي: Securelist.com.
وللحفاظ على مستوى عالٍ من الحماية، توصي كاسبرسكي باتباع الإجراءات التالية:
تحديث البرامج والتطبيقات بانتظام لمعالجة الثغرات الأمنية المعروفة فوراً.
استخدام حلول أمنية فعالة قادرة على اكتشاف البرمجيات الخبيثة وإحباط محاولات تحميلها وتشغيلها.
التدريب المستمر للموظفين لرفع مستوى الوعي بالأمن السيبراني.
تأمين الأجهزة والشبكات المؤسسية باستخدام حلول متكاملة للكشف المبكر عن الهجمات والتصدي لها.
الاستفادة من المعلومات الاستخباراتية المتقدمة لمواكبة التهديدات المتطورة، واكتشاف الهجمات الجديدة في وقت مبكر، واتخاذ قرارات أمنية أكثر دقة استناداً إلى واحدة من أكبر قواعد بيانات المعرفة الأمنية في العالم.