احذروا.. حملة تجسس عالمية تستغل تيليجرام لاستهداف قطاعي التجارة والتكنولوجيا المالية

كشف فريق البحث والتحليل العالمي (GReAT) في شركة كاسبرسكي عن حملة تجسس عالمية معقدة يستغل فيها المهاجمون تطبيق تيليجرام لزرع برمجيات حصان طروادة التجسسية، لاستهداف الأفراد والشركات في قطاعي التكنولوجيا المالية والتجارة في بلدان عدة في أوروبا، وآسيا، وأمريكا اللاتينية، والشرق الأوسط.

 وقد صُمّمت البرمجيات الخبيثة في هذه الحمة لسرقة البيانات الحساسة، مثل كلمات المرور، والسيطرة على أجهزة المستخدمين لأغراض التجسس، مما يهدد أمن الأفراد والشركات على حد سواء.

ويعتقد خبراء كاسبرسكي أن الحملة على صلة بمجموعة (DeathStalker) السيئة السمعة والنشيطة في مجال التهديدات المتقدمة المستمرة (APT)، إذ تمتهن القرصنة المأجورة وتقدم خدمات متخصصة في القرصنة والاستخبارات المالية.

وفي موجة الهجمات الأخيرة التي رصدتها كاسبرسكي، حاولت مصادر التهديد إصابة الضحايا ببرمجية (DarkMe) الخبيثة؛ وهي عبارة عن برمجية حصان طروادة تتيح الوصول من بُعد (RAT)، ومصممة لسرقة المعلومات وتنفيذ الأوامر من بعد انطلاقًا من خادم خاضع لسيطرة المهاجمين.

وقد استهدفت الحملة ضحايا في قطاعي التجارة والتكنولوجيا المالية، بحكم أن المؤشرات الفنية تشير بأن البرمجية الخبيثة قد وُزعت عبر قنوات تيليجرام ينصب تركيزها في هذه المواضيع على الأرجح. وكانت الحملة ذات بعد عالمي، إذ اكتشفت كاسبرسكي وجود ضحايا في أكثر من 20 دولة في أوروبا، وآسيا، وأمريكا اللاتينية، والشرق الأوسط.

تفاصيل الحملة:

يكشف تحليل سلسلة العدوى عن قيام المهاجمين بإرفاق ملفات أرشيف خبيثة بالمنشورات في قنوات تيليجرام، ولم تكن ملفات الأرشيف تلك، بما يشمل ملفات RAR أو ZIP، خبيثة بحدّ ذاتها، لكنها احتوت على ملفات ضارة بامتدادات مثل .lnk و.com و.cmd. وعند قيام الضحايا المحتملون بتشغيل هذه الملفات، فسيؤدي ذلك إلى تثبيت البرمجية الخبيثة DarkMe، في إطار سلسلة من الإجراءات.

وبالإضافة إلى استخدامهم تيليجرام لزرع البرمجية الخبيثة، حسّن المهاجمون من مستوى الأمن التشغيلي وممارسات إزالة آثار ما بعد الاختراق. فبعد التثبيت، قامت البرمجية الخبيثة بإزالة الملفات التي اُستخدِمت لنشر DarkMe.

ولعرقلة التحليل أكثر ومحاولة الهروب من الاكتشاف، قام المهاجمون بزيادة حجم ملف الغرسة وأزالوا الدلائل الأخرى، مثل الملفات، والأدوات، ومفاتيح التسجيل اللاحقة للاختراق، بعد تحقيق مبتغاهم.

وتعليقًا على هذا الحملة، قال ماهر يموت، كبير الباحثين الأمنيين في فريق GReAT في كاسبرسكي: “بدلًا من استخدام أساليب التصيد الاحتيالي التقليدية، استعانت مصادر التهديد بقنوات تيليجرام لدسّ البرمجية الخبيثة. وفي حملات سابقة، رصدنا أيضًا استخدام هذه العملية منصات مراسلة أخرى، مثل Skype، كنواقل للعدوى الأولية. وقد تجعل هذه الطريقة الضحايا المحتملين أكثر ميلًا للثقة بالمرسل وفتح الملف الخبيث قياسًا بما هو عليه الحال مع موقع تصيد احتيالي. وبالإضافة إلى ذلك، قد يؤدي تنزيل الملفات من خلال تطبيقات المراسلة إلى إثارة تحذيرات أمنية أقل بالمقارنة مع التنزيلات الاعتيادية عبر الإنترنت، وهو أمر مواتٍ لمصادر التهديد. وفي حين أننا عادة ما نوصي باليقظة ضد رسائل البريد الإلكتروني والروابط المشبوهة، فإن هذه الحملة تسلط الضوء على الحاجة إلى الحذر عند التعامل حتى مع تطبيقات المراسلة مثل Skype وتيليجرام”.

وتجدر الإشارة إلى أن مجموعة (Deathstalker) كانت معروفة سابقًا باسم (Deceptikons)، وهي مصدر تهديد نشط منذ عام 2018 على أقل تقدير، ولربّما منذ عام 2012. ويُعتقد أنها مكونة من المرتزقة الإلكترونيين أو القراصنة المأجورين، إذ يبدو أن لدى مصدر التهديد أعضاء متمرسون يتولون تطوير مجموعات أدوات داخليًا، ولديهم فهم لمنظومة التهديدات المتقدمة المستمرة. والهدف الأساسي للمجموعة هو جمع المعلومات التجارية، والمالية، والشخصية، ومن الوارد أن يكون ذلك لأغراض تنافسية أو استخباراتية تجارية لخدمة عملائها.

وعادة ما تستهدف المجموعة الشركات الصغيرة والمتوسطة، والشركات المالية، وشركات التكنولوجيا المالية، وشركات المحاماة، وفي بعض المناسبات، الكيانات الحكومية. ومع استهداف هذه الأنواع من الأهداف، لم يسبق إطلاقًا رصد قيام مجموعة (DeathStalker) بسرقة الأموال، وهو سبب اعتقاد كاسبرسكي أنها منظمة استخباراتية خاصة.

كذلك، لدى المجموعة اتجاه للسعي إلى تجنّب الإسناد الصريح لأنشطتها من خلال تقليدها جهات فاعلة أخرى في مشهد التهديدات المتقدمة المستمرة وإدراجها قرائن زائفة.

وصايا خبراء كاسبرسكي:

للحماية من البرمجيات الخبيثة المالية، يوصي خبراء كاسبرسكي المؤسسات باتباع التعليمات التالية:

• ثبت حل أمني موثوق به مثل حل Kaspersky Premium، واتبع توصياته. وستتولى الحلول الآمنة إثر ذلك حل معظم المشكلات تلقائيًا وإخطارك إذا لزم الأمر.
• يمكن للاطلاع المستمر على أساليب الهجوم الإلكتروني الجديدة أن يساعدك في تعرّفها وتجنبها. كما ستساعدك مدونات الأمان في المتابعة المستمرة للتهديدات المستجدة.

وللحماية من التهديدات المتقدمة المستمرة، يوصي خبراء الأمن في كاسبرسكي المؤسسات بما يلي:

• زود فريق مركز العمليات الأمني بالوصول إلى أحدث معلومات التهديدات (TI). وتُعدّ منصة (Kaspersky Threat Intelligence Portal) نقطة وصول فردية لمعلومات التهديدات الخاصة بكاسبرسكي، إذ توفر بيانات ورؤى عن الهجمات السيبرانية جمعتها الشركة على مدار أكثر من 20 عامًا.
• استثمر في دورات أمن سيبراني إضافية لطاقم العمل لإبقائهم على اطلاع دائم بأحدث المعارف. وبفضل تدريب Kaspersky Expert المرتكز على الجانب العملي، يمكن لمحترفي أمن المعلومات أن يطوروا من مهاراتهم العملية وأن يكتسبوا قدرة الدفاع عن شركاتهم في وجه الهجمات المعقدة. بالإمكان اختيار التنسيق الأنسب، وتتبع الدورات التدريبية الذاتية التوجيه عبر الإنترنت، أو الدورات التدريبية المباشرة بإشراف مدرب.
• لحماية الشركة من مجموعة واسعة من التهديدات، يوصى باستخدام حلول (Kaspersky Next)، التي توفر الحماية في الوقت الفعلي، ورؤية التهديدات، وقدرات التحقيق والاستجابة لكل من حلول الاكتشاف والاستجابة للنقاط الطرفية وحلول الاكتشاف والاستجابة الموسعة للمؤسسات على اختلاف أحجامها والصناعات التي تعمل ضمنها.

نسخ الرابط تم نسخ الرابط