Cloud Atlas تعزز ترسانتها من التهديدات المستمرة المتقدمة ببرمجيات خبيثة متعددة الأشكال

أجرت الجهة التخريبية Cloud Atlas تحديثات مهمة على ترسانتها من التهديدات الإلكترونية المستمرة المتقدّمة، بإضافة أدوات جديدة تسمح لها بتجنب الاكتشاف من قِبل مؤشرات الاختراق العادية. وتمّ اكتشاف وجود سلسلة من الإصابات بالأدوات التخريبية المحدثة هذه لدى منشآت مختلفة في أوروبا الشرقية وآسيا الوسطى وروسيا.

وتتمتع Cloud Atlas بتاريخ طويل حافل بعمليات التجسس الإلكتروني التي تستهدف قطاعات وجهات حكومية وكيانات أخرى. وقد تمّ التعرّف عليها لأول مرة في العام 2014 وهي تنشط منذ ذلك الحين. ورأى باحثون لدى كاسبرسكي أن Cloud Atlas تستهدف قطاعي الاقتصاد والفضاء العالميين، فضلاً عن منشآت حكومية ودينية في البرتغال ورومانيا وتركيا وأوكرانيا وروسيا وتركمانستان وأفغانستان وقيرغيزستان وبلدان أخرى. وعندما تتمكّن هذه الجهة التخريبية من التسلل بنجاح إلى الجهة المستهدفة، تقوم بما يلي:

• تجمع المعلومات المتعلقة بالنظام الذي اخترقته.
• تسجّل كلمات المرور.
• تسرّب أحدث ملفات txt وpdf وxls وdoc إلى خادم القيادة والسيطرة.

ولم تغيّر Cloud Atlas أساليبها تغييراً جذرياً، لكنها بدأت منذ العام الماضي، عبر موجات من الهجمات المكتشفة، في تطبيق طريقة جديدة لإصابة ضحاياها وإجراء تحركات جانبية عبر شبكاتهم.

الشكل 1: سلسلة الإصابة التي اعتادت Could Atlas استخدامها قبل إبريل 2019

في السابق، كانت المجموعة التخريبية Cloud Atlas ترسل أولاً رسالة بريد إلكتروني للتصيّد تشتمل على ملف مُرفق خبيث إلى الجهة المستهدفة. وفي حالة نجاح الاختراق يتم تنفيذ الملف الخبيث المرفق PowerShower، والمستخدم للاستطلاع الأولي ولتنزيل وحدات إضافية خبيثة، وذلك من أجل السماح للمهاجمين الإلكترونيين بمتابعة العملية.

وتؤجّل سلسلة الإصابة المحدثة تنفيذ البرمجية الخبيثة PowerShower حتى مرحلة لاحقة، في حين باتت الآن تعمل بدلاً من ذلك على تنزيل تطبيق HTML خبيث وتنفيذه على الجهاز الهدف بعد الإصابة الأولية مباشرة. ويقوم هذا التطبيق بعد ذلك بجمع معلومات أولية حول الحاسوب المصاب الذي تمت مهاجمته وينزّل وينفّذ وحدة خبيثة أخرى هي VBShower، قبل أن يمحو VBShower الدليل على وجود برمجية خبيثة في النظام، ويتشاور مع أسياده من خلال خوادم القيادة والسيطرة، لاتخاذ قرار بشأن الإجراءات الإضافية المفترض اتباعها. وتنزّل البرمجية الخبيثة بعد ذلك، من Cloud Atlas البرمجية الخبيثة PowerShower أو تفتح منفذاً خلفياً آخر للمرحلة الثانية، وذلك بناءً على الأمر الذي تم استلامه.

الشكل 2: سلسلة الإصابة المحدثة من Cloud Atlas

وبينما تتسم سلسلة الإصابة الجديدة هذه عموماً بالتعقيد أكثر من سابقتها، فإن التمايز الرئيس بينهما يتمثل في حقيقة أن تطبيق HTML الخبيث ووحدة VBShower يتسمان بكونهما متعددي الأشكال، ما يعني أن الشيفرة البرمجية في كلتا الوحدتين ستكون جديدة وفريدة في كل حالة من حالات الإصابة. ووفقاً لخبراء كاسبرسكي، يتم تنفيذ هذا الإصدار المحدّث من أجل جعل البرمجية الخبيثة غير مرئية لدى الحلول الأمنية التي تعتمد على مؤشرات الاختراق الاعتيادية المألوفة.

وقال فيليكس إيمي أحد الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن تبادل الجهات العاملة في الأمن الإلكتروني مؤشرات الاختراق الخاصة بالعمليات التخريبية التي يتم العثور عليها في البحث "بات من الممارسات الجيدة التي أصبحت تُتبع في مجتمع الأمن الإلكتروني"، موضحاً أن هذه الممارسة "تسمح لنا بالتصدي بسرعة لعمليات التجسّس الإلكتروني الدولية الجارية، ما يحول دون تسببها بأضرار"، وأضاف: "لكن مثلما توقعنا في وقت مبكر من العام 2016، بدأت مؤشرات الاختراق تفقد فاعليتها في اكتشاف الهجمات الموجّهة في شبكات النظام. وقد ظهر هذا أولاً مع عملية ProjectSauron والتي خلقت مجموعة فريدة من مؤشرات الاختراق لكل ضحية من ضحاياها واستمرت في اتجاه استخدام أدوات مفتوحة المصدر في عمليات التجسّس بدلاً من أدوات فريدة. واستمر هذا الحال مع هذا المثال الحديث للبرمجيات الخبيثة متعددة الأشكال. ولا يعني هذا أن الجهات التخريبية صعّبت على الجهات الأمنية اللحاق بها وإيقافها، ولكن يجب أن تتطور المهارات الأمنية والأدوات الدفاعية لمواكبة تطور نظيراتها لدى الجهات التخريبية".

وتوصي كاسبرسكي الشركات والمؤسسات باستخدام حلول مضادة للهجمات الموجّهة ومُحسّنة باستخدام مؤشرات اختراق تركز على التكتيكات أو الأساليب أو الإجراءات التي قد تتخذها الجهات التخريبية عند التحضير لهجوم. وتتبع مؤشرات الهجوم الأساليب التي يتم توظيفها بغض النظر عن الأدوات المستخدمة. وتحتوي أحدث إصدارات الحلّين Kaspersky Endpoint Detection and Response وKaspersky Anti Targeted Attack من كاسبرسكي على قاعدة بيانات جديدة لمؤشرات الاختراق، يتم تحديثها على أيدي صائدي التهديدات الخبراء العاملين لدى كاسبرسكي.

توصيات أخرى من كاسبرسكي للشركات والمؤسسات:

• الحرص على تثقيف الموظفين بشأن النظافة الرقمية وتعريفهم بكيفية التعرّف على رسائل البريد الإلكتروني التصيّدية أو الروابط التي يُحتمل أن تكون ضارّة، مع الاهتمام بتقديم التدريب التوعوي المتخصص للموظفين.
• استخدم حل أمني للنقاط الطرفية مزوّد بمكونات مكافحة البريد الإلكتروني غير المرغوب فيه ومكافحة التصيّد، فضلاً عن ضبط وظائف التحكّم في التطبيقات على وضع "الرفض الأساسي" من أجل منع تنفيذ التطبيقات غير المصرح بها، وذلك مثل الحلّ Kaspersky Endpoint Security for Business.
• تنفيذ حلّ EDR مثل Kaspersky Endpoint Detection and Response للإمساك حتى بالبرمجيات الخبيثة المصرفية المجهولة، من أجل الكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
• تطبيق حلّ أمني على المستوى المؤسسي يكشف التهديدات المتقدّمة على الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform
• دمج معلومات التهديدات في الخدمات والضوابط الأمنية التابعة لإدارة المعلومات والأحداث الأمنية في المؤسسة، من أجل الوصول إلى أهمّ بيانات التهديدات وأحدثها.

يمكن الاطلاع على النص الكامل للتقرير على Securelist.com.