أعلنت شركة كاسبرسكي عن اكتشافها حملة تجسس متقدمة تستهدف كيانات حكومية وشركات في الشرق الأوسط وأفريقيا، تقودها مجموعة التهديدات المتقدمة المعروفة باسم (SideWinder)، والتي تستخدم أداة تجسس جديدة وغير مسبوقة تُعرف باسم (StealerBot)، حيث تم الكشف عن هذا الاكتشاف خلال مشاركة كاسبرسكي في معرض جيتكس جلوبال 2024، إذ حذر فريق البحث والتحليل العالمي (GReAT) من أن هذه الحملة لا تزال نشطة، وقد تستهدف ضحايا آخرين.

كيف تعمل أداة (StealerBot)؟

بدأت مجموعة (SideWinder) – المعروفة أيضًا باسم APT-T-04 أو RattleSnake – نشاطها منذ عام 2012، وركزت في البداية على استهداف كيانات عسكرية وحكومية في دول مثل باكستان وسريلانكا والصين ونيبال، بالإضافة إلى عدة قطاعات ودول في جنوب وجنوب شرق آسيا، وفي الآونة الأخيرة، رصدت كاسبرسكي موجات جديدة من الهجمات التي طالت كيانات رفيعة المستوى والبنية التحتية الاستراتيجية في الشرق الأوسط وأفريقيا.

إلى جانب التوسع الجغرافي، اكتشفت كاسبرسكي أن مجموعة (SideWinder) تستخدم أداة (StealerBot) المصممة خصيصًا لعمليات التجسس، والتي تتميز بقدرتها على الاختباء داخل أنظمة الضحايا دون ترك آثار واضحة.

يقول جيامباولو ديدولا، الباحث الأمني الرئيسي في فريق GReAT بكاسبرسكي: “تعتبر (StealerBot) أداة تجسس خفية، تتيح لمصادر التهديد التجسس على الأنظمة مع تجنب الكشف بسهولة. تعمل من خلال هيكل معياري، حيث تم تصميم كل مكوّن لأداء وظيفة محددة. ومن المثير للاهتمام أن هذه المكونات لا تظهر كملفات على القرص الصلب للنظام، مما يصعّب عملية تتبعها، بل يتم تحميلها مباشرة على الذاكرة. ويعتبر (المنسق) جزءًا أساسيًا في (StealerBot)، حيث يشرف على العملية ويتواصل مع خادم القيادة والتحكم الخاص بمصدر التهديد لتنسيق تنفيذ الوحدات المختلفة.

ما البيانات التي تسرقها أداة (StealerBot)؟

خلال تحقيقاتها الأخيرة، لاحظت كاسبرسكي أن أداة (StealerBot) تقوم بمجموعة من الأنشطة الخبيثة، تشمل تثبيت برمجيات خبيثة إضافية، وأخذ لقطات شاشة، وتسجيل ضغطات المفاتيح، وسرقة كلمات المرور من المتصفحات، واعتراض بيانات اعتماد بروتوكول سطح المكتب البعيد (RDP)، واستخراج الملفات، وغير ذلك.

تم الإبلاغ عن أنشطة مجموعة (SideWinder) لأول مرة في عام 2018، ومن المعروف أنها تعتمد على رسائل البريد الإلكتروني للتصيد الاحتيالي كوسيلة رئيسية للإصابة. تحتوي هذه الرسائل غالبًا على مستندات خبيثة تستغل ثغرات في مجموعة برامج (أوفيس)، وفي بعض الأحيان تستخدم ملفات LNK وHTML وHTA المرفقة داخل الأرشيفات، وغالبًا ما تتضمن المستندات معلومات مأخوذة من مواقع إلكترونية عامة، مما يُستخدم لإغراء الضحية لفتح الملف والاعتقاد بأنه مشروع.

وصايا خبراء كاسبرسكي

لتقليل تأثير التهديدات المتعلقة بالأنشطة المتقدمة المستمرة، يوصي خبراء كاسبرسكي بتزويد فرق أمن المعلومات في المؤسسات بأحدث المعلومات والرؤى التقنية، مثل تلك التي توفرها بوابة معلومات التهديدات من كاسبرسكي. كما يُنصح باستخدام حلول قوية للنقاط الطرفية لاكتشاف التهديدات المتقدمة في الشبكة، مثل حل Kaspersky Next وحل Kaspersky Anti Targeted Attack Platform. علاوة على ذلك، يُوصى بتثقيف الموظفين حول تهديدات الأمن السيبراني، بما في ذلك رسائل التصيد الاحتيالي.

ختامًا، تمثل الحملة الأخيرة لمجموعة (SideWinder) تهديدًا خطيرًا للأمن السيبراني في المنطقة، مما يبرز أهمية اتخاذ الاحتياطات اللازمة لحماية الأنظمة والبيانات من الهجمات السيبرانية المتطورة.