تكنولوجيا

عصابة BlueNoroff تجدد هجماتها ببرمجيات أكثر خطورة

اكتشف باحثو كاسبرسكي أن (BlueNoroff)، عصابة التهديدات المتقدمة المستمرة السيئة السمعة، قد أضافت سلالات من برمجيات خبيثة معقدة جديدة إلى ترسانتها التخريبية.

وتُعرف هذه العصابة باستهداف العملات الرقمية للمؤسسات المالية في جميع أنحاء العالم، ولا سيما شركات رأس المال الاستثماري والشركات الناشئة في مجال العملات الرقمية والبنوك.

وتُجرِّب (BlueNoroff) الآن أنواعًا جديدة من الملفات لتحسين مستوى الكفاءة في نقل برمجياتها الخبيثة، كما أنشأت أكثر من 70 اسم نطاق مزيفًا لشركات رأس المال الاستثماري والبنوك، في مسعى للإيقاع بموظفي الشركات الناشئة.

وتُعدّ (BlueNoroff) جزءًا من عصابة (Lazarus) الكبيرة، وتستخدم تقنياتها الخبيثة المتطورة لمهاجمة المؤسسات، التي تتعامل، بحكم طبيعة عملها، مع مجالات العقود الذكية والتبادل غير المركزي (DeFi) وسلسلة الكتل (Blockchain)، وقطاع التقنيات المالية (FinTech).

وأفاد خبراء كاسبرسكي في عام 2022 بوقوع سلسلة هجمات على شركات ناشئة في مجال العملات الرقمية في أنحاء العالم، شنّتها (BlueNoroff)، قبل أن يسود الهدوء من جانب العصابة. لكن القراءات الواردة من حلول كاسبرسكي أظهرت عودة هذه المجموعة التخريبية في الخريف الماضي إلى شنّ الهجمات، وأنها أصبحت أكثر تعقيدًا ونشاطًا.

موضوعات ذات صلة بما تقرأ الآن:

وترسل العصابة لموظف في قسم المبيعات لدى مؤسسة مالية كبيرة مثلًا، بريدًا إلكترونيًا به ملف من نوع doc، يفترض الموظف أنه عقد من العميل، ويرى أن عليه فتح هذا الملف بسرعة وإرساله إلى مديره.

ولكن فور فتح الملف تُنزَّل برمجيةٌ خبيثةٌ على حاسوب العمل تُمكِّن العصابة من تتبّع عمليات الموظف اليومية جميعها أثناء وضعهم خطة هجوم بغرض السرقة. وحينما يجد المهاجمون أن موظفًا من الشركة المصابة سوف يعمل على إجراء حوالة بمبلغ كبير من العملات الرقمية، يعترضون المعاملة ويغيّرون عنوان المستلم ويرفعون مبلغ المعاملة المحوّل إلى الحدّ الأقصى، ما يقود إلى استنزاف كبير لحساب العملة الرقمية في مرّة واحدة.

ويرى خبراء كاسبرسكي أن المهاجمين يجرّبون حاليًا طرقًا جديدة لإيصال البرمجيات الخبيثة إلى أهدافهم؛ فيستخدمون لإصابة ضحاياهم أنواع ملفات غير مستخدمة سابقًا، مثل ملف (Visual Basic Script) جديد، وملف (Windows Batch) غير مرئي، وملف ويندوز قابل للتنفيذ.

وبالإضافة لاستخدام التكتيكات الشائعة بين مجرمي الإنترنت المتقدّمين، زادت العصابة من كفاءة التحايل على إجراءات الأمن في النظام ويندوز من خلال ابتكار إستراتيجياتها الخاصة.

واعتمدت حديثًا العديد من الجهات التخريبية على ملفات صورية لتجنب علامات الأصالة الأمنية في مواقع الويب، والمعروفة بالمصطلح (MOTW)، والتي تجعل النظام ويندوز يُصدر رسالة تحذير (مثل فتح ملف ما بطريقة “العرض المحمي”) لمّا يحاول المستخدم عرض ملف نزّله من الإنترنت.

وبدأ عدد متزايد من الجهات التخريبية، ومنها: (BlueNoroff)، في استغلال أنواع ملفات ISO (وهي نسخ رقمية من الأقراص المضغوطة العادية المستخدمة لتوزيع البرمجيات أو محتوى الوسائط) في سبيل تجنب تقنية الحماية هذه.

ملف صورة ISO المكتشف هذا استُخدم لتقديم برمجية خبيثة تشتمل على ملف PowerPoint وملف Visual Basic Script

وتحرص عصابة (BlueNoroff) على زيادة قوة هجماتها باستمرار. إذ لاحظ باحثو كاسبرسكي في تشرين الأول/ أكتوبر الماضي ظهور 70 اسم نطاق مزيفًا تحاكي بنوكًا وشركات رأس مال استثماري معروفة عالميًا معظمها يابانية، مثل بيوند نكست فنتشرز (Beyond Next Ventures)، وميزوهو فايننشال غروب (Mizuho Financial Group)، ما يشير إلى وجود اهتمام كبير لدى العصابة بالمؤسسات المالية اليابانية. ووفقًا لقراءات كاسبرسكي، فقد استهدفت العصابة أيضًا شركات في دولة الإمارات متنكّرة في هيئة شركات أمريكية وفيتنامية.

مستند احتيالي يحتوي على وصف لشركة رأسمال استثماري شهيرة

وقال سيونغسو بارك، الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن العام الجديد سيشهد انتشار الأوبئة رقمية الشديدة القوّة والبالغة التأثير، وفقًا لتوقعات كاسبرسكي الواردة في تقرير “تنبؤات التهديدات المتقدمة المستمرة للعام 2023”.

وأضاف بارك: “سوف تشبه الهجمات المرتقبة حملة (WannaCry) الشهيرة السيئة السمعة، في تفوّقها التقني وتأثيرها التدميري، فالنتائج التي توصلنا إليها في تحليلنا لعصابة (BlueNoroff) تثبت أن مجرمي الإنترنت حريصون على مواصلة تجربة أدوات هجوم جديدة أكثر تعقيدًا، واختبارها وتحليلها. لذلك، فإنه ينبغي لمختلف المؤسسات، ونحن على عتبة حملات تخريبية جديدة، أن تكون أكثر حرصًا على أمنها، فيحب عليها تدريب موظفيها على أساسيات الأمن الرقمي واستخدام حلول الأمن الموثوق بها على جميع أجهزتها”.

وتوصي كاسبرسكي المؤسسات بإتباع ما يلي لحماية أنفسهم بتزويد الموظفين بالتدريب على أساسيات السلامة الرقمية، والذي يتيح إجراء محاكاة لهجوم تصيّد، من أجل التأكّد من أن الموظفين يعرفون كيفية تمييز رسائل البريد الإلكتروني المخادعة.

كما توصي بإجراء تدقيق على الأمن الرقمي للشبكات، ومعالجة أية ثغرات أو نقاط ضعف تُكتشف في محيط الشبكة أو داخلها. بالإضافة اختيار حلّ أمني موثوق به لحماية الأجهزة الطرفية، مثل (Kaspersky Endpoint Security for Business)، المزوّد بقدرات الكشف عن التهديدات بالاستناد على السلوك، ومراقبة الحركات الشاذة للبيانات، لتوفير حماية فعّالة من التهديدات المعروفة وغير المعروفة.

وترى كاسبرسكي أنه يجب استخدام مجموعة تخصصية من حلول الأمن الرقمي لحماية الأجهزة الطرفية حماية فعالة، وحلول الكشف عن التهديدات والاستجابة لها والتي تستطيع اكتشاف حتى التهديدات الجديدة والمراوغة والتعامل معها في الوقت المناسب.

ويتضمن الحلّ (Kaspersky Optimum Framework)، مثلًا، المجموعة الأساسية من أدوات حماية الأجهزة الطرفية المزودة بقدرات الكشف عن التهديدات والاستجابة لها (EDR)، ومزايا الحماية المُدارة (MDR).

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى