خلال الربع الثاني من عام 2024، وجد فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي أنه وعلى الرغم من حفاظ بعض مصادر التهديد على أنماطها المعتادة، فقد حدّثت بعض مصادر التهديد الأخرى أدواتها ووسعت نطاق أنشطتها. وفقاً لقراءات كاسبرسكي، فقد ارتفع عدد حملات التجسس السيبراني المتطورة عبر قطاعات مختلفة، حيث واجهت الحكومات، والجيوش، والاتصالات، والأنظمة القضائية أكبر عدد من التهديدات حول العالم. إليك أهم النقاط الرئيسية من أحدث تقرير للتهديدات المتقدمة المستمرة:
• استغلال التهديدات مفتوحة المصدر. لعل أحد التطورات الرئيسية خلال هذا الربع هي اختراق أداة XZ، وهي أداة ضغط مفتوحة المصدر تُستخدم على نطاق واسع في التوزيعات الشائعة لنظام التشغيل Linux. حيث استخدم المهاجمون أساليب الهندسة الاجتماعية للحصول على وصول دائم لبيئة تطوير البرمجيات. وقد كشف فريق البحث والتحليل العالمي GReAT لدى كاسبرسكي عن الكثير من التفاصيل بشأن أسباب بقاء هذا التهديد غير مكتشف لسنوات. وتمثلت أحد العوامل الرئيسية في تنفيذ المهاجمين لميزة مضادة لإعادة التشغيل لمنع التقاط أو اختطاف اتصالات الباب الخلفي. بجانب ما سبق، استخدم المهاجمون أسلوب تخفي مخصص ضمن كود بمعمارية 86x لإخفاء المفتاح العام المطلوب لفك تشفير الباب الخلفي.
• هجمات القراصنة. لقد كان نشاط القراصنة جانباً مهماً في مشهد التهديدات خلال هذا الربع. وغالباً ما تكون الجغرافيا السياسية محركاً للأعمال الخبيثة، لكن ومع ذلك، لم تكن جميع الهجمات البارزة مرتبطة بمناطق صراع نشطة. ومن أبرز هذه الأعمال الهجمات التي شنتها جماعة Homeland Justice، المُمولة من قِبل إيران، على كيانات في ألبانيا، حيث تمكن المهاجمون من سرقة أكثر من 100 تيرا بايت من البيانات، وتعطيل المواقع الإلكترونية الرسمية وخدمات البريد الإلكتروني، ومحو خوادم قواعد البيانات والنسخ الاحتياطية، مما أحدث أضراراً جسيمة بالشركات المستهدفة.
• تحديثات مجموعات الأدوات. كشف تقرير فريق البحث والتحليل العالمي GReAT لدى كاسبرسكي أن المهاجمين قد استغرقوا وقتاً لتحديث مجموعات الأدوات الخاصة بهم. ففي أوائل عام 2023، تم اكتشاف مصدر تهديد باسم GOFFEE عندما بدأ باستخدام نسخة معدلة من وحدة Owawa، وهي وحدة خدمات معلومات الإنترنت (IIS) خبيثة خاضعة للمراقبة. ومنذ هذا الحين، توقفت مجموعة GOFFEE عن استخدام وحدة Owawa وبرمجية VisualTaskel، وهي زرعة تنفيذ كود عن بعد (RCE) مستندة لواجهة PowerShell. ومع ذلك، واصلت المجموعة عمليات الاختراق من خلال الاستفادة من برمجية PowerTaskel كسلسلة عدوى خاصة بها قائمة على تطبيقات لغة HTML (تعرف اختصاراً باسم HTA). وبجانب ما سبق، قامت مجموعة GOFFEE بتوسيع مجموعة أدواتها عبر تقديم أداة تحميل جديدة متخفية في شكل مستند شرعي وتُوزع عبر البريد الإلكتروني، مما يعزز قدرتها على اختراق الأهداف.
• الانتشار الجغرافي. لم تبرز أي منطقة كحاضنة مميزة لهجمات التهديدات المتقدمة المستمرة خلال هذا الربع، بل كان النشاط واسع النطاق ومؤثراً في جميع المناطق. وخلال هذا الربع، استهدفت حملات التهديدات المتقدمة المستمرة أوروبا، والأمريكيتين، وآسيا، ومنطقة الشرق الأوسط، وإفريقيا، مما يبرز النطاق والتأثير العالميين لهذه التهديدات.
علق ديفيد إيم، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي GReAT لدى كاسبرسكي: «تتطور التهديدات المتقدمة المستمرة، وتكيف تكتيكاتها، وتوسع نطاقها، مما يجعلها قوة مستمرة في المشهد السيبراني. ولمكافحة هذه التهديدات المتغيرة باستمرار، يجب أن يتحد المجتمع السيبراني لتبادل المعلومات والتعاون عبر الحدود. وفقط من خلال اليقظة الجماعية والتواصل المفتوح يمكننا البقاء في طليعة حماية عالمنا الرقمي.»
سيتم الكشف عن المزيد من الأبحاث الحصرية حول أكثر التهديدات تعقيداً في قمة المحللين الأمنيين (SAS) القادمة والمقرر عقدها للمرة السادسة عشر في الفترة بين 22 و25 أكتوبر 2024 في بالي.
لمعرفة المزيد حول مشهد التهديدات المتقدمة المستمرة خلال الربع الثاني من عام 2024، قم بزيارة Securelist.com.
يشارك فريق البحث والتحليل العالمي GReAT لدى كاسبرسكي بنشاط أحدث الاكتشافات والرؤى الحصرية من خلال بوابة معلومات التهديدات (TIP) من كاسبرسكي.
