كاسبرسكي تكتشف توسعاً في هجمات SideWinder باستخدام أداة تجسس جديدة

أعلن فريق البحث والتحليل العالمي (GReAT) التابع لـ Kaspersky عن توسيع مجموعة SideWinder Advanced Persistent Threat (APT) الخاصة به لعملياته الهجومية في الشرق الأوسط وإفريقيا. يتم استخدام مجموعة غير معروفة من أدوات التجسس تسمى “StealerBot”.

وكجزء من مراقبتها المستمرة لأنشطة التهديدات المستمرة المتقدمة، وجدت كاسبرسكي أن الحملات الأخيرة استهدفت شركات رفيعة المستوى وبنية تحتية استراتيجية في هذه المناطق، في حين تظل الحملة نشطة بشكل عام وقد تستهدف ضحايا آخرين.

تعد SideWinder، والمعروفة أيضًا باسم APT-T-04 أو RattleSnake، واحدة من أكثر مجموعات التهديد المستمر المتقدمة نشاطًا والتي بدأت أنشطتها في عام 2012. وفي السنوات الأخيرة، استهدفت هذه المجموعة في المقام الأول الوحدات العسكرية والحكومية في باكستان وسريلانكا والصين ونيبال بالإضافة إلى قطاعات ودول أخرى في جنوب وجنوب شرق آسيا.

وفي الآونة الأخيرة، اكتشفت كاسبرسكي موجات جديدة من الهجمات التي توسعت لتشمل شركات رفيعة المستوى وبنية تحتية استراتيجية في الشرق الأوسط وإفريقيا.

وبالإضافة إلى التوسع الجغرافي، اكتشف كاسبرسكي أن SideWinder يعتمد على مجموعة غير معروفة سابقًا من أدوات ما بعد الاستغلال تسمى “StealerBot”. وهي عبارة عن زرعة رقمية معيارية متقدمة مصممة خصيصًا لأنشطة التجسس وتستخدمها المجموعة حاليًا كأداة رئيسية لها في مرحلة ما بعد الهجوم.

وقال جيامباولو ديدولا، كبير الباحثين الأمنيين في فريق GReAT في كاسبرسكي: “إن StealerBot، في جوهره، هي أداة تجسس مخفية تسمح للجهات الفاعلة في مجال التهديد بالتسلل إلى الأنظمة مع تجنب اكتشافها بسهولة”. إنه يعمل من خلال هيكل معياري حيث تم تصميم كل مكون لأداء وظيفة محددة. والجدير بالذكر أن هذه المكونات لا تظهر كملفات على قرص تخزين النظام، مما يجعل من الصعب تتبعها. بدلاً من ذلك، يتم تحميلها مباشرة إلى الذاكرة. قلب StealerBot هو ما يسمى بـ “المنسق” الذي يشرف على العملية برمتها. ويتواصل مع خادم القيادة والسيطرة التابع لمصدر التهديد ويكون مسؤولاً عن تنسيق تنفيذ وحداته المختلفة.

خلال تحقيقها الأخير، لاحظت Kaspersky أن StealerBot نفذ مجموعة من الأنشطة الضارة، مثل تثبيت برامج ضارة إضافية، والتقاط لقطات شاشة، وتسجيل ضغطات المفاتيح، وسرقة كلمات المرور من المتصفحات، واعتراض بيانات اعتماد بروتوكول سطح المكتب البعيد (RDP)، واستخراج الملفات والمزيد.

تم الإبلاغ عن أنشطة المجموعة لأول مرة بواسطة Kaspersky في عام 2018. ومن المعروف أن مصدر التهديد هذا يعتمد على رسائل البريد الإلكتروني التصيدية كوسيلة أساسية للعدوى. تحتوي هذه الرسائل على مستندات ضارة تستغل الثغرات الأمنية في مجموعة Office وفي حالات أخرى تلجأ إلى استخدام ملفات LNK وHTML وHTA المرفقة بالأرشيفات. غالبًا ما تحتوي المستندات على معلومات من مواقع الويب العامة التي تُستخدم لخداع الضحية لفتح الملف وإعطاء الانطباع بأنه ملف شرعي.

وقد لاحظت كاسبرسكي استخدام العديد من عائلات البرمجيات الخبيثة في حملات متوازية، بما في ذلك أدوات الوصول عن بعد (RATs) المخصصة والمعدلة والمتاحة للعامة.

للتخفيف من حدة التهديدات المرتبطة بنشاط التهديدات المستمرة المتقدمة، يوصي خبراء Kaspersky بتزويد خبراء أمن المعلومات في مؤسستك بأحدث المعلومات والتفاصيل الفنية، مثل تلك التي توفرها بوابة Kaspersky Threat Intelligence Portal.

كما توصي باستخدام حلول قوية لنقاط النهاية والكشف المتقدم عن تهديدات الشبكة، مثل: ب. Kaspersky Next وKaspersky Anti Targeted Attack Platform. يوصى أيضًا بتدريب الموظفين على التعرف على تهديدات الأمن السيبراني مثل رسائل التصيد الاحتيالي.