كشف خبراء خدمة الاكتشاف والاستجابة المُدارة من كاسبرسكي عن هجوم سيبراني تجسسي على مؤسسة في جنوب القارة الأفريقية، وأشاروا إلى صلته بمجموعة APT41 الصينية. ورغم محدودية نشاط مصدر التهديد في جنوب القارة الأفريقية، يوضّح هذا الحادث استهداف المهاجمين لخدمات تكنولوجيا المعلومات الحكومية في إحدى دول المنطقة، سعياً لسرقة معلومات مؤسسية حساسة – بما فيها معلومات الدخول والوثائق الداخلية والكود المصدري والاتصالات.

مجموعات التهديدات المتقدمة المستمرة (APT) هي فئة من مصادر التهديد التي تتميز بشن هجمات مدروسة وخفية ومتواصلة على مؤسسات محددة، خلافاً للحوادث الانتهازية والمنفردة التي تمثل غالبية أنشطة الجرائم السيبرانية. وساهم أسلوب الهجوم الذي تم رصده في جنوب القارة الأفريقية في تمكين كاسبرسكي من ربطه بثقة كبيرة بمجموعة APT41 الناطقة بالصينية. كان الهدف الأساسي للهجوم هو التجسس السيبراني، وهو نمط معتاد لمصدر التهديد المذكور. حيث سعى المهاجمون لجمع معلومات حساسة من الأجهزة التي تمكنوا من اختراقها في شبكة المؤسسة. ومن الجدير بالذكر أن نشاط مجموعة APT41 في جنوب القارة الأفريقية عادةً ما يكون محدوداً. حيث تركز المجموعة على التجسس السيبراني مستهدفة مؤسسات في عدة قطاعات، تشمل مقدمي خدمات الاتصالات، والمؤسسات التعليمية والصحية، وقطاعات تكنولوجيا المعلومات، والطاقة وغيرها، حيث رُصد نشاطها في ما لا يقل عن 42 دولة.

بناءً على تحليل خبراء كاسبرسكي، يُحتمل أن المهاجمين وصلوا إلى شبكة المؤسسة من خلال خادم ويب مكشوف للإنترنت. وباستخدام أسلوب جمع بيانات الاعتماد – المعروف تقنياً باسم تفريغ السجل (Registry Dumping) – استولى المهاجمون على حسابين في نطاق المؤسسة: الأول لديه صلاحيات إدارة محلية على كل أجهزة العمل، والثاني خاص بنظام النسخ الاحتياطي ويتمتع بصلاحيات إدارة النطاق. أتاحت هذه الحسابات للمهاجمين اختراق المزيد من الأنظمة داخل المؤسسة.

وكانت إحدى أدوات السرقة المستخدمة لجمع البيانات هي نسخة معدلة من أداة Pillager، المصممة لتصدير البيانات وفك تشفيرها. حيث قاموا بتحويل كودها من ملف قابل للتنفيذ إلى مكتبة ارتباط ديناميكي (DLL). واستهدفوا من خلالها جمع بيانات الدخول المخزنة في المتصفحات وقواعد البيانات والأدوات الإدارية، بالإضافة إلى الكود المصدري للمشاريع، ولقطات الشاشة، وجلسات المحادثة النشطة وبياناتها، ومراسلات البريد الإلكتروني، وقوائم البرمجيات المثبتة، وبيانات دخول نظام التشغيل، وبيانات دخول شبكة الواي فاي، ومعلومات أخرى.

أما برنامج السرقة الثاني المستخدم في الهجوم فكان يحمل اسم؛ Checkout. فبجانب معلومات الدخول المخزنة وسجل المتصفح، كان بإمكانه أيضاً جمع معلومات عن الملفات المحملة، وبيانات البطاقات الائتمانية المخزنة في المتصفح. كما استعان المهاجمون بأداة RawCopy ونسخة من Mimikatz تم تجميعها كمكتبة ارتباط ديناميكي (DLL) لاستخراج ملفات السجل وبيانات الدخول، مع استخدام Cobalt Strike للاتصال بخوادم قيادة التحكم (C2) على الأجهزة المخترقة.

يوضح دينيس كوليك، كبير محللي مركز العمليات الأمنية في خدمة الكشف والاستجابة المدارة لدى كاسبرسكي: «من اللافت أن المهاجمين اختاروا خادم SharePoint داخل البنية التحتية للضحية كإحدى قنوات التحكم والسيطرة (C2) إلى جانب Cobalt Strike. وتواصلوا معه باستخدام وكلاء C2 مخصصين مرتبطين بواجهة ويب خفية. ربما اختاروا SharePoint لأنه خدمة داخلية موجودة بالفعل في البنية التحتية ومن المستبعد أن تثير الشكوك. بالإضافة لذلك، في تلك الحالة، ربما وفرت أسهل وسيلة لتسريب البيانات والتحكم بالأجهزة المخترقة عبر قناة اتصال مشروعة.»

ويضيف دينيس كوليك: «عموماً، لا يمكن صد مثل هذه الهجمات المعقدة بدون خبرة متكاملة ورصد متواصل لكامل البنية التحتية. من المهم الحفاظ على تغطية أمنية شاملة لجميع الأنظمة باستخدام حلول تستطيع منع النشاطات الخبيثة آلياً في مراحلها الأولى – وتجنب إعطاء حسابات المستخدمين صلاحيات تزيد عن الحاجة».

للحد من هذه الهجمات أو تفاديها، تُعتبر الممارسات التالية من بين الأفضل التي يُنصح بها للمؤسسات:

● التأكد من تثبيت برامج الحماية الأمنية على كافة أجهزة العمل في المؤسسة بدون استثناء، مما يتيح اكتشاف الحوادث في الوقت المناسب وتقليل الأضرار المحتملة.
● مراجعة وضبط صلاحيات حسابات الخدمات والمستخدمين، مع تجنب منح صلاحيات غير ضرورية – خاصة للحسابات المستخدمة عبر أجهزة متعددة داخل البنية التحتية.
● لحماية الشركة من نطاق واسع من التهديدات، استخدم حلول خط منتجات Kaspersky Next التي تقدم حماية فورية، ورصد للتهديدات، وقدرات التحقيق والاستجابة لكل من حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) وحلول الاكتشاف والاستجابة الموسعة (XDR) للمؤسسات من مختلف الأحجام والقطاعات. وحسب احتياجاتك الراهنة ومواردك المتاحة، يمكنك اختيار المستوى الأنسب من المنتج والترقية بسلاسة إلى مستوى آخر عند تغير متطلبات الأمن السيبراني لديك.
● تبني خدمات الأمن المُدارة من كاسبرسكي مثل تقييم الاختراق، وخدمة الاكتشاف والاستجابة المُدارة (MDR) و/أو الاستجابة للحوادث، التي تشمل دورة إدارة الحوادث بالكامل – من رصد التهديدات حتى الحماية المتواصلة والإصلاح. تساعد هذه الخدمات في الحماية من الهجمات السيبرانية المراوغة، والتحقيق في الحوادث، والحصول على خبرات إضافية حتى إذا كانت الشركة تفتقر إلى متخصصين في الأمن السيبراني.
● امنح خبراء أمن المعلومات في مؤسستك رؤية شاملة للتهديدات السيبرانية التي تستهدفها. سيقدم نظام Kaspersky Threat Intelligence الجديد معلومات سياقية غنية وقيّمة خلال دورة إدارة الحوادث بأكملها، ويساعدهم في اكتشاف المخاطر السيبرانية في الوقت المناسب.

يتوفر تحليل مفصل للحادث على موقع Securelist.

ترصد خدمة الاكتشاف والاستجابة المُدارة من كاسبرسكي النشاطات المشبوهة وتساعد المؤسسات على الاستجابة بسرعة للحد من آثارها. هذه الخدمة هي جزء من Kaspersky Security Services، وهو فريق ينجز مئات مشاريع أمن المعلومات لشركات فورتشن 500 العالمية سنوياً ويشمل: الاستجابة للحوادث، والكشف المُدار، واستشارات مركز العمليات الأمني، واختبار الفريق الأحمر، واختبار الاختراق، وأمن التطبيقات، والحماية من المخاطر الرقمية.