هجوم إلكتروني خطير يستهدف الحكومات والبنوك في آسيا وأفريقيا

كشف فريق الأبحاث والتحليل العالمي (GReAT) لدى كاسبرسكي عن حملةَ تجسس سيبراني تدعى (PassiveNeuron)، تستهدف أنظمة ويندوز سيرفر (Windows Server) في المؤسسات الحكومية والمالية والصناعية في جميع أنحاء آسيا وإفريقيا وأمريكا اللاتينية. وقد تم رصد ومتابعة هذه الحملة منذ ديسمبر عام 2024، واستمرت حتى أغسطس عام 2025.

بعد ستة أشهر من توقف النشاط، استأنفت حملة PassiveNeuron عملياتها مستخدمة ثلاث أدوات رئيسية، اثنتان منها غير معروفة سابقًا، للوصول إلى الشبكات المستهدفة والبقاء داخلها. وتتضمن الأدوات الثلاث كلاً من: Neursite وهي برمجية باب خلفي قابلة للتعديل، وNeuralExecutor وهي برمجية خبيثة مزروعة مبنية على منصة .NET، وCobalt Strike وهي إطار برمجي لاختبار الاختراق تستخدمه غالباً الجهات المهددة في مجال التهديدات السيبرانية.

يعلق على هذه المسألة جورجي كوشيرين، الباحث الأمني ​​في فريق البحث والتحليل العالمي (GReAT)  لدى كاسبرسكي: «تتميز حملة PassiveNeuron بتركيزها على اختراق الخوادم، التي تشكل غالباً العمود الفقري لشبكات المؤسسات. فالخوادم المكشوفة على شبكة الإنترنت أهداف مغرية لمجموعات التهديدات المتقدمة المستمرة (APT)؛ إذ يمكن لإختراق جهاز مضيف واحد يفتح المجال أمام المجرمين للوصول إلى أنظمة حيوية. لذلك يجب تقليص مساحة الهجوم المرتبطة بها، ومراقبة تطبيقات الخادم باستمرار لاكتشاف البرمجيات الخبيثة المحتملة وإيقافها».

جمع معلومات النظام، وإدارة العمليات الجارية

تستطيع برمجية الباب الخلفي Neursite جمع معلومات النظام، وإدارة العمليات الجارية، وتوجيه حركة البيانات في الشبكة عبر الأجهزة المضيفة المخترقة، مما يسمح للمجرمين بالتنقل الجانبي داخل الشبكة. وكشف التحليل عن تواصل عينات البرمجيات الخبيثة مع خوادم تحكم وسيطرة خارجية وأنظمة داخلية مخترقة.

أما أداة NeuralExecutor فقد صممت لنقل حمولات إضافية. ولدى هذه البرمجية الخبيثة المزروعة طرق اتصال متعددة، يمكنها تحميل وتشغيل حزم .NET المستلمة من خادم التحكم والسيطرة الخاص بها.

أوضحت العينات التي رصدها فريق GReAT أنّ المهاجمين استبدلوا أسماء الوظائف، واستخدموا محلها سلاسل فيها أحرف سيريلية أدخلوها عمداً. وتستدعي هذه المؤشرات تقييماً دقيقاً عند تحديد مصدر الهجمات، لأنها قد تكون خدعاً متعمدة لتضليل المحللين. ووفقاً للأساليب والتقنيات والإجراءات التي رصدتها كاسبرسكي، ترجح الشركة بقدر محدود من اليقين، أنّ الحملة مرتبطة غالباً بجهة تهديد ناطقة باللغة الصينية. وسبق لباحثي كاسبرسكي أن رصدوا نشاطاً لحملة PassiveNeuron في وقت سابق من عام 2024، ووصفوها بأنها على مستوى عالٍ من التطور.

يوصي باحثو كاسبرسكي بتطبيق التدابير التالية لتجنب الوقوع ضحية لهجوم مستهدف من جهة تهديد معروفة أو غير معروفة:

• احرص على تزويد فريق مركز عمليات الأمن السيبراني (SOC) بأحدث معلومات استخبارات التهديدات السيبرانية. وتقدم بوابة كاسبرسكي لاستخبارات التهديدات نقطة وصول واحدة لمعلومات استخبارات التهديدات الخاصة بالشركة؛ إذ تقدم رؤى وبيانات عن الهجمات السيبرانية جمعتها كاسبرسكي طوال 20 عاماً.
• طوّر مهارات فريق الأمن السيبراني في شركتك لمواجهة أحدث التهديدات السيبرانية المستهدِفة. واستفد من دورات التدريب الإلكتروني من كاسبرسكي، التي يطورها خبراء فريق البحث والتحليل العالمي.
• استخدم حلاً أمنياً لحماية النقاط الطرفية مثل Kaspersky Endpoint Detection and Response؛ إذ يكتشف الحوادث في النقاط الطرفية، ويحقق فيها، ويستجيب لها في الوقت المناسب.
• بالإضافة إلى تطبيق حل لحماية النقاط الطرفية، استخدم حلاً مخصصاً للشركات يكتشف مبكراً التهديدات المتقدمة على مستوى الشبكة مثل حل Kaspersky Anti Targeted Attack Platform.
• وبما أن معظم الهجمات الموجهة تنطلق بعمليات التصيد الاحتيالي وغيرها من أساليب الهندسة الاجتماعية، لذلك امنح فريقك تدريبات مخصصة لزيادة التوعية الأمنية، وزودهم بالمهارات العملية لمواجهة هذه التحديات، وذلك بالاستفادة من منصة كاسبرسكي للتوعية الأمنية الآلية (Kaspersky Automated Security Awareness Platform).