اكتشف باحثو كاسبرسكي أن BlueNoroff، عصابة التهديدات المتقدمة المستمرة السيئة السمعة، قد أضافت سلالات من برمجيات خبيثة معقدة جديدة إلى ترسانتها التخريبية. وتُعرف هذه العصابة باستهداف العملات الرقمية للمؤسسات المالية في جميع أنحاء العالم، ولا سيما شركات رأس المال الاستثماري والشركات الناشئة في مجال العملات الرقمية والبنوك. وتقوم BlueNoroff الآن بتجربة أنواعاً جديدة من الملفات لتحسين مستوى الكفاءة في نقل برمجياتها الخبيثة، كما أنشأت أكثر من 70 اسم نطاق مزيف لشركات رأس المال الاستثماري والبنوك، في مسعى للإيقاع بموظفي الشركات الناشئة.
وتُعدّ BlueNoroff جزءاً من عصابة Lazarus الكبيرة، وتستخدم تقنياتها الخبيثة المتطورة لمهاجمة المؤسسات، التي تتعامل، بحكم طبيعة عملها، مع مجالات العقود الذكية والتبادل غير المركزي (DeFi) وسلسلة الكتل (Blockchain)، وقطاع التقنيات المالية (FinTech). وأفاد خبراء كاسبرسكي في عام 2022 بوقوع سلسلة هجمات على شركات ناشئة في مجال العملات الرقمية حول العالم، شنّتها BlueNoroff، قبل أن يسود الهدوء من جانب العصابة. لكن القراءات الواردة من حلول كاسبرسكي أظهرت عودة هذه المجموعة التخريبية في الخريف الماضي إلى شنّ الهجمات، وأنها أصبحت أكثر تعقيداً ونشاطاً.
وترسل العصابة لموظف في قسم المبيعات لدى مؤسسة مالية كبيرة مثلاً، بريداً إلكترونياً به ملف من نوع doc، يفترض الموظف أنه عقد من العميل، ويرى أن عليه فتح هذا الملف بسرعة وإرساله إلى مديره. ولكن ما إن يُفتح الملف حتى يتمّ تنزيل برمجية خبيثة على حاسوب العمل تمكّن العصابة من تتبّع جميع عمليات الموظف اليومية أثناء وضعهم خطة هجوم بغرض السرقة. وعندما يجد المهاجمون أن موظفاً من الشركة المصابة سوف يعمل على إجراء حوالة بمبلغ كبير من العملات الرقمية، يعترضون المعاملة ويغيّرون عنوان المستلم ويرفعون مبلغ المعاملة المحوّل إلى الحدّ الأقصى، ما يقود إلى استنزاف كبير لحساب العملة الرقمية في مرّة واحدة.
ويرى خبراء كاسبرسكي أن المهاجمين يجرّبون حالياً طرقاً جديدة لإيصال البرمجيات الخبيثة إلى أهدافهم؛ فيستخدمون لإصابة ضحاياهم أنواع ملفات غير مستخدمة سابقاً، مثل ملف Visual Basic Script جديد، وملف Windows Batch غير مرئي، وملف ويندوز قابل للتنفيذ.
وبالإضافة لاستخدام التكتيكات الشائعة بين مجرمي الإنترنت المتقدّمين، زادت العصابة من كفاءة التحايل على إجراءات الأمن في النظام ويندوز من خلال ابتكار استراتيجياتها الخاصة. واعتمدت حديثاً العديد من الجهات التخريبية على ملفات صورية لتجنب علامات الأصالة الأمنية في مواقع الويب، والمعروفة بالمصطلح Mark-of-the-Web (MOTW)، والتي تجعل النظام ويندوز يُصدر رسالة تحذير (مثل فتح ملف ما بطريقة “العرض المحمي”) عندما يحاول المستخدم عرض ملف نزّله من الإنترنت. وبدأ عدد متزايد من الجهات التخريبية، ومنها BlueNoroff، في استغلال أنواع ملفات ISO (عبارة عن نسخ رقمية من الأقراص المضغوطة العادية المستخدمة لتوزيع البرمجيات أو محتوى الوسائط) في سبيل تجنب تقنية الحماية هذه.
وتحرص عصابة BlueNoroff على زيادة قوة هجماتها باستمرار. إذ لاحظ باحثو كاسبرسكي في أكتوبر الماضي ظهور 70 اسم نطاق مزيف تحاكي بنوكاً وشركات رأس مال استثماري معروفة عالمياً معظمها يابانية، مثل “بيوند نكست فنتشرز” Beyond Next Ventures و”ميزوهو فايننشال غروب” Mizuho Financial Group، ما يشير إلى وجود اهتمام كبير لدى العصابة بالمؤسسات المالية اليابانية. ووفقاً لقراءات كاسبرسكي، فقد استهدفت العصابة أيضاً شركات في دولة الإمارات متنكّرة في هيئة شركات أمريكية وفيتنامية.
وقال سيونغسو بارك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن العام الجديد سيشهد انتشار الأوبئة رقمية الشديدة القوّة والبالغة التأثير، وفقاً لتوقعات كاسبرسكي الواردة في تقرير “تنبؤات التهديدات المتقدمة المستمرة للعام 2023”. وأضاف: “سوف تشبه الهجمات المرتقبة حملة WannaCry الشهيرة السيئة السمعة، في تفوّقها التقني وتأثيرها التدميري، فالنتائج التي توصلنا إليها في تحليلنا لعصابة BlueNoroff تثبت أن مجرمي الإنترنت حريصون على مواصلة تجربة أدوات هجوم جديدة أكثر تعقيداً، واختبارها وتحليلها. لذلك، فإنه ينبغي على مختلف المؤسسات، ونحن على عتبة حملات تخريبية جديدة، أن تكون أكثر حرصاً على أمنها، فيحب عليها تدريب موظفيها على أساسيات الأمن الرقمي واستخدام حلول الأمن الموثوق بها على جميع أجهزتها”.
