اكتشفت كاسبرسكي مؤخراً سلسلة جديدة من هجمات التهديدات المتقدمة المستمرة (APT) شنتها مجموعة Awaken Likho مستهدفة قطاعات حكومية وصناعية في روسيا. لا تزال المجموعة نشطة، وقد طورت أساليبها لتتمكن من رفع فاعلية هجماتها وتجنب الاكتشاف. في هذه الحملة الأخيرة، استغل المهاجمون منصة MeshCentral، وهي منصة مجانية قائمة على الويب للتحكم عن بعد في أنظمة الحاسوب، مما يمثل تحولاً عن وكيل UltraVNC سابقاً.
بدأت مجموعة Awaken Likho، والمعروفة كذلك باسم Core Werewolf، نشاطها كمجموعة تهديدات متقدمة مستمرة منذ عام 2021 على الأقل، ولكنها شهدت زيادةً كبيرةً في نشاطها بالتزامن مع اشتعال الصراع الروسي-الأوكراني. أثناء إجراء البحث بشأن عمليات المجموعة، اكتشف خبراء كاسبرسكي حملةً خبيثةً جديدةً بدأت في شهر يونيو 2024 واستمرت حتى شهر أغسطس على الأقل. وتهدف هذه الحملة للتجسس السيبراني والتحكم في الأجهزة، وتستهدف بشكل خاص المنظمات الحكومية والصناعية ومقاوليها في روسيا.
يكشف تحليل كاسبرسكي أن الحملة الأخيرة تضمنت تغييرات في أدوات وأساليب المجموعة. استغل المهاجمون منصة MeshCentral، وهي منصة مفتوحة المصدر وقائمة على الويب تتيح الوصول لسطح المكتب عن بعد، وإدارة الأجهزة، ونقل الملفات، والمراقبة في الوقت الفعلي. ولتعزيز الوجود في الشبكة، تم تحميل برمجية خبيثة إلى أجهزة الضحايا بواسطة عنوان رابط خبيث يُعتقد أنه وصل عبر رسائل بريد إلكتروني تصيدية موجهة. وفي حملات مماثلة سابقة، استخدم المهاجمون محركات البحث لجمع معلومات واسعة النطاق عن الضحايا، وصياغة رسائل بريد إلكتروني تبدو مشروعة. وتضمنت رسائل البريد الإلكتروني هذه أرشيفات ذاتية الاستخراج (SFX) وروابط إلى وحدات خبيثة، ولدى فتحها تقوم بتثبيت برمجية حصان طروادة مصممة للتجسس السيبراني.
اعتماداً على أساليبهم، يمكن للمهاجمين الوصول لبيانات حكومية وصناعية حساسة، بما يشمل المعلومات، والخطط، والاتصالات السرية، وتفاصيل عمليات البنية التحتية. وبجانب ما سبق، قد يتمكن المهاجمون من السيطرة الكاملة على أجهزة الضحايا، مما يسمح لهم بتعطيل العمليات، أو التلاعب بالأنظمة، أو شن المزيد من الهجمات داخل الشبكات المخترقة.
بالنظر إلى التكتيكات، والأساليب، والإجراءات المستخدمة، فضلاً عن المعلومات المتعلقة بالضحايا، ينسب خبراء كاسبرسكي هذه الحملة لمجموعة التهديدات المتقدمة المستمرة Awaken Likho بدرجة عالية من الثقة.
قال أليكسي شوملين، الخبير الأمني لدى كاسبرسكي: «تستمر الجيو-سياسة بكونها محركاً رئيسياً لهجمات التهديدات المتقدمة المستمرة، والتي تتطور بسرعة مع تحسين المهاجمين لأساليبهم لتجنب اكتشافها وزيادة أضرارها. وتعيد هذه الهجمات التأكيد على الحاجة الملحة لاتخاذ تدابير أمنية شاملة، وخاصةً في القطاعين الحكومي والصناعي، حيث يشكلان أهدافاً رئيسيةً لمصادر التهديد. وتُعد استراتيجيات الدفاع الاستباقية ومعلومات التهديدات في الوقت الفعلي ضروريةً لمواجهة هذه التهديدات المتطورة بشكل متزايد.»
لحماية نفسك من الوقوع ضحيةً لهجمة موجهة، سواء بواسطة مصدر تهديد معروف أو غير معروف، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
- زود فريق مركز العمليات الأمني (SOC) خاصتك بالوصول لأحدث معلومات التهديدات (TI). تُعد منصة Kaspersky Threat Intelligence Portal نقطة وصول فردية لمعلومات التهديدات الخاصة بكاسبرسكي، حيث توفر بيانات ورؤى عن الهجمات السيبرانية جمعتها الشركة على مدار أكثر من 20 عاماً.
- طوّر مهارات فريق الحماية السيبرانية خاصتك لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من شركة كاسبرسكي والتي طورها خبراء فريق GReAT.
- استخدم حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) مثل خط منتجات Kaspersky Next لاكتشاف التهديدات على مستوى النقاط الطرفية، والتحقيق بشأنها، والاستجابة السريعة للحوادث.
- بجانب اعتماد حماية أساسية للنقاط الطرفية، طبق حلاً أمنياً على مستوى الشركات يمكنه اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة مثل حل Kaspersky Anti Targeted Attack Platform.
- نظراً لبدء العديد من الهجمات الموجهة بالتصيد الاحتيالي أو أساليب الهندسة الاجتماعية الأخرى، قدم لفريقك تدريبات من شأنها رفع وعيهم الأمني وزودهم بالمهارات العملية، وذلك من خلال منصة Kaspersky Automated Security Awarenss Platform على سبيل المثال.