كشفت كاسبرسكي عن حملة سيبرانية متطورة جديدة تحمل اسم “StrikeShark”، استهدفت مؤسسات حكومية وشركات خاصة في عدة دول حول العالم، مستخدمة أداة تحميل برمجيات خبيثة جديدة وغير موثقة سابقًا تُعرف باسم “SharkLoader”، في مؤشر جديد على تصاعد مستوى تعقيد الهجمات الإلكترونية العالمية.
مؤسسات حكومية ودبلوماسية ضمن قائمة الأهداف
بحسب فريق البحث والتحليل العالمي لدى كاسبرسكي، شملت الجهات المستهدفة بعثات دبلوماسية في إندونيسيا، وهيئات حكومية في تايوان، إلى جانب شركات تطوير برمجيات ومؤسسات أخرى في هونغ كونغ ولبنان وسوريا وكولومبيا ومقدونيا الشمالية ونيبال وصربيا.
وأكدت الشركة أن الحملة لا ترتبط حتى الآن بأي مجموعة تهديدات متقدمة معروفة، فيما يواصل الباحثون مراقبة النشاط المرتبط بها وتحليل أساليب عملها.
استغلال ثغرات معروفة وبرامج موثوقة
اعتمد المهاجمون على عدة طرق للوصول إلى الأنظمة المستهدفة، من بينها استغلال ثغرات أمنية في تطبيقات وخدمات متاحة عبر الإنترنت مثل Microsoft Exchange وMicrosoft SharePoint وخوادم Openfire.
كما استخدمت الحملة برمجيات خبيثة متنكرة في صورة تطبيقات موثوقة وشائعة الاستخدام مثل Google Update وCisco AnyConnect، بهدف خداع المستخدمين وتجاوز أنظمة الحماية. وكشفت التحليلات أيضًا عن استخدام ملفات PDF مزيفة لإقناع الضحايا بتثبيت البرمجيات الخبيثة دون علمهم.
SharkLoader.. برمجية متقدمة لتجاوز أنظمة الحماية
أظهرت التحليلات الفنية أن SharkLoader تتمتع بمستوى عالٍ من التعقيد، حيث تستخدم تقنية DLL Side-Loading داخل تطبيقات ويندوز الموثوقة لتحميل وحدات خبيثة مشفرة.
وبعد نجاح عملية الاختراق، تقوم البرمجية بفك تشفير مكونات إضافية وتحميلها إلى النظام، ثم تثبيت آليات API Hooks المصممة للتهرب من حلول الحماية والكشف الأمني.
استخدام Cobalt Strike للسيطرة على الأجهزة المخترقة
في المراحل اللاحقة من الهجوم، يقوم المهاجمون بحقن وتشغيل أداة Cobalt Strike Beacon، وهي أداة تُستخدم في الأصل لاختبارات الاختراق والأمن السيبراني، لكنها أصبحت من أكثر الأدوات استغلالًا في الهجمات الإلكترونية.
وتتيح هذه الأداة للمهاجمين تنفيذ عمليات التحكم والسيطرة على الأجهزة المصابة، وجمع المعلومات الحساسة، والتنقل داخل الشبكات المخترقة، وسرقة البيانات.
كاسبرسكي: التهديدات الحديثة أصبحت أكثر تعقيدًا
قال فريد راضي، الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن حملة StrikeShark تعكس التحول المتزايد نحو الهجمات التي تجمع بين الأدوات الهجومية المتاحة تجاريًا والبرمجيات الخبيثة المخصصة وتقنيات التهرب المتقدمة.
وأضاف أن استغلال الثغرات الأمنية المعروفة واستخدام أدوات تبدو قانونية يفرض على المؤسسات تعزيز سياسات إدارة التحديثات الأمنية وتبني حلول متقدمة للكشف والاستجابة للتهديدات، إلى جانب رفع مستوى الوعي الأمني لدى الموظفين.
كيف تحمي المؤسسات نفسها من هجمات StrikeShark؟
أوصت كاسبرسكي المؤسسات باتخاذ مجموعة من الإجراءات الوقائية للحد من مخاطر الهجمات السيبرانية المتقدمة، أبرزها:
- تحديث الأنظمة والتطبيقات بشكل دوري لمعالجة الثغرات الأمنية.
- استخدام حلول أمنية متقدمة للكشف عن البرمجيات الخبيثة ومنع تشغيلها.
- تدريب الموظفين بشكل مستمر على اكتشاف محاولات التصيد والهندسة الاجتماعية.
- تأمين الشبكات والأجهزة الطرفية عبر أنظمة متخصصة للكشف والاستجابة للتهديدات.
- الاستفادة من المعلومات الاستخباراتية الخاصة بالتهديدات لرصد الهجمات الجديدة مبكرًا.
تصاعد الهجمات السيبرانية عالميًا
تسلط حملة StrikeShark الضوء على استمرار تطور التهديدات السيبرانية التي تستهدف المؤسسات الحكومية والخاصة حول العالم، وتعكس الحاجة المتزايدة إلى الاستثمار في الأمن السيبراني وتعزيز قدرات الكشف والاستجابة لمواجهة الهجمات المعقدة والمتطورة.
