كتشف باحثو كاسبرسكي في الربع الثاني من العام الجاري إحدى الجهات التي تقف وراء التهديدات المتطورة المستمرة، وتستهدف بنشاط مجال العملات الرقمية.
زاجل نيوز، ١، آب، ٢٠٢٢ | مال وأعمال
وهاجمت هذه الجهة التخريبية التي تقف وراء حملة جديدة شديدة النشاط، NaiveCopy، مستثمري الأسهم والعملات الرقمية في كوريا الجنوبية، مستخدمين محتوى مرتبطًا بالعملات الرقمية وتحذيرات من جهات إنفاذ القانون، في شكل طُعم للإيقاع بالضحايا. وكشف التحليل الإضافي لأساليب NaiveCopy وتكتيكاتها عن حملة أخرى ذات صلة نشطت العام الماضي في استهداف كيانات غير معروفة في كل من المكسيك وبريطانيا. تم الكشف عن هذه الحملة وغيرها من الاكتشافات الأخرى في الملخص ربع السنوي الصادر أخيرًا عن كاسبرسكي حول معلومات التهديدات.
وتغيّر الجهات الناشطة في مجال التهديدات المتقدمة المستمرة تكتيكاتها باستمرار، وتطوّر أدواتها وتبتكر تقنيات جديدة. ويقدّم فريق البحث والتحليل العالمي لدى كاسبرسكي تقارير ربع سنوية حول أهمّ التطورات الحاصلة على امتداد مشهد التهديدات المتقدمة المستمرة، لمساعدة المستخدمين والمؤسسات على مواكبة هذه التغييرات والبقاء على اطلاع على التهديدات المحتملة التي قد يواجهونها. ووضع الفريق تقرير توجّهات التهديدات المتطورة المستمرة في الربع الثاني من العام الجاري باستخدام أبحاث كاسبرسكي الخاصة حول معلومات التهديدات والمتضمنة للتطورات الرئيسية والحوادث الرقمية التي يرى الباحثون أنه ينبغي للجميع أن يكونوا على دراية بها.
وتُعدّ الحملة المكتشفة غير معتادة بالنظر إلى أن معظم الجهات التخريبية في مجال التهديدات المتقدمة المستمرة لا تسعى لتحقيق مكاسب مالية. واستخدمت الجهة محتوى وتحذيرات متعلقة بالعملات الرقمية صادرة عن جهات قانونية، واستغلوها في شكل «طُعم» لجذب ضحاياهم. وتضمنت سلاسل الإصابة حقن الملفات عن بُعد ببرمجيات خبيثة تبدأ بإصابة الجهاز على مراحل متعددة باستخدام Dropbox. وبعد إرسال معلومات الضحية، تحاول البرمجية الخبيثة جلب الحمولة الخبيثة الخاصة بالمرحلة النهائية.
وأتيحت أمام خبراء كاسبرسكي فرصة الحصول على حمولة المرحلة النهائية، والتي تتكون من عدّة وحدات تُستخدم لاستخراج المعلومات الحساسة من الضحية، ووجدوا بتحليلها عينات إضافية استُخدمت قبل عام في حملة أخرى شنتها على جهات في المكسيك وبريطانيا.
ولا يرى خبراء كاسبرسكي أي صِلات دقيقة بين هذه الحملة وجهات تخريبية معروفة، لكنهم وجدوا أنها على دراية باللغة الكورية واستخدمت تكتيكًا مشابهًا لتكتيك استخدمته في السابق مجموعة Konni لسرقة بيانات اعتماد الدخول إلى بوابة إنترنت كورية شهيرة. وتُعدّ مجموعة Konni جهة تهديد بدأت نشاطها منذ منتصف العام 2021، وتستهدف في الغالب جهات دبلوماسية روسية.
وقال ديفيد إم الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن الفريق شهد على مدار عدة أرباع متتالية توجيه الجهات الناشطة في مشهد التهديدات المتقدمة المستمرة انتباهها إلى مجال العملات الرقمية. وأضاف: «تسعى هذه الجهات إلى الحصول على المعلومات والمال عبر اللجوء إلى أساليب مختلفة، وهذا توجّه غير معتاد ولكنه متزايد في مشهد التهديدات المتقدمة المستمرّة، لذا فإن على المؤسسات أن تعزّز قدرتها على رؤية هذا المشهد بوضوح في سبيل التمكّن من التصدي للتهديدات. وتعتبر المعلومات المتعلقة بالتهديدات عنصرًا أساسيًا يتيح توقعًا موثوقًا به ومناسبًا لمثل هذه الهجمات
زاجل نيوز