كاسبرسكي تكتشف حملة تجسس إلكترونية في الشرق الأوسط

اكتشف فريق البحث والتحليل العالمي في كاسبرسكي انتشار حملة APT جديدة تديرها مجموعة تدعى Tropic Trooper.

واستهدفت هذه العملية مؤسسة حكومية في الشرق الأوسط منذ أكثر من عام بتهمة التجسس الإلكتروني.

يستخدم المهاجمون البرنامج الضار China Chopper للوصول بشكل غير قانوني إلى هدفهم والحفاظ على وجودهم على الشبكة المستهدفة، وفقًا لخبراء من فريق البحث والتحليل العالمي الذين اكتشفوا البرنامج على خادم ويب مفتوح المصدر متاح للجمهور.Tropic Trooper (المعروفة أيضًا باسم KeyBoy وPirate Panda) هي مجموعة متخصصة في التهديدات المستمرة المتقدمة وتنشط في هذا المجال منذ عام 2011 على الأقل. خلال عملياتها، ركزت المجموعة على مجموعة من القطاعات بما في ذلك الحكومة والرعاية الصحية والنقل وصناعات التكنولوجيا الفائقة، وأثرت هجماتها على العديد من المناطق حول العالم، وخاصة تايوان والفلبين وهونج كونج. لكن أحدث تحقيقات كاسبرسكي توصلت إلى أن نفس المجموعة أطلقت حملات إلكترونية متواصلة في عام 2024 لاستهداف مؤسسة حكومية في الشرق الأوسط، وأن موعد إطلاق هذه الحملة تم تحديده على الأقل في يونيو 2023.اكتشف بحث كاسبرسكي في يونيو 2024 نوعًا جديدًا من غطاء الويب يسمى “China Chopper”. وكشف المزيد من التحقيقات التي أجراها فريق البحث والتحليل العالمي في Kaspersky أن هذه الصدفة قد تم دمجها كوحدة موجودة في خادم ويب عام مستخدم على نطاق واسع (Umbraco CMS) وتستضيف نظام إدارة المحتوى. استغل المهاجمون هذه المنصة لاكتساب مجموعة متنوعة من القدرات بشكل ضار، بما في ذلك سرقة البيانات والتحكم الكامل عن بعد وتسليم البرامج الضارة والتهرب من الكشف المتقدم، بهدف نهائي هو التجسس عبر الإنترنت.وقال شريف مجدي، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي في كاسبرسكي: “اللافت في هذه الهجمات هو أن هناك اختلافات في القدرات المستخدمة في المراحل المختلفة لهذا الهجوم، ناهيك عن التكتيكات التي استخدمتها المجموعة”. اكتشف هؤلاء المهاجمون أبوابهم الخلفية وحاولوا تنزيل إصدارات أحدث لتجنب اكتشافهم، مما يزيد من احتمال اكتشاف هذه العينات الجديدة عن غير قصد في المستقبل القريب.واكتشفت كاسبرسكي برامج ضارة جديدة تستغل أساليب البحث في النظام في ملف DLL الجديد، والذي تم تحميله عبر ملف قابل للتنفيذ شرعي، ولكنه كان عرضة للخطر بسبب عدم توفر معلومات المسار الكامل للمكتبة المطلوبة. حاولت سلسلة الهجوم هذه نشر أداة برمجية ضارة تسمى Crowdoor Loader، سُميت بهذا الاسم نظرًا لتشابهها مع البرنامج الضار SparrowDoor بعد أن اكتشفته شركة الأمن السيبراني العالمية ESET. عندما أدت الإجراءات الأمنية التي اتخذتها Kaspersky إلى حظر أداة تحميل Crowdoor الأولية، تحول المهاجمون بسرعة إلى إصدار آخر لم يتم الإبلاغ عنه مسبقًا ولكن كان له تأثير مماثل.وخبراء كاسبرسكي واثقون جدًا من أن هذا النشاط يرجع إلى ممثل خبيث ناطق باللغة الصينية يُدعى “Tropic Trooper”. وتظهر النتائج التي توصل إليها الخبراء تداخلا كبيرا في التقنيات التي تم الإبلاغ عنها في الحملات الأخيرة التي قامت بها نفس المجموعة، في حين تظهر العينات التي حللها فريق كاسبرسكي أيضا ارتباطا قويا بمجموعات أخرى مرتبطة بهذه المجموعة الصينية في فترات سابقة.واكتشفت كاسبرسكي هذا الاختراق الذي استهدف مؤسسة حكومية في الشرق الأوسط. وفي الوقت نفسه، تم اكتشاف أن مجموعة فرعية من هذه العينات استهدفت مؤسسة حكومية في ماليزيا. تتوافق هذه الحوادث مع الأهداف النموذجية والتركيز الجغرافي الموضح في التقارير الأخيرة عن نشاط Tropic Trooper.وأضاف شريف مجدي: “تستهدف مجموعة Tropic Trooper APT عادةً الصناعات الحكومية والرعاية الصحية والنقل والتكنولوجيا المتقدمة. “إن التكتيكات والتقنيات والإجراءات التي تستخدمها هذه المجموعة لاستهداف المؤسسات الحكومية الرئيسية في الشرق الأوسط، وخاصة تلك التي تتعامل مع الناس، تشير إلى تحول استراتيجي في عملياتها”. يمكن لهذه الرؤية أن تساعد مجتمع استخبارات التهديد على فهم دوافع هذا الفاعل بشكل أفضل.لتجنب الوقوع ضحية لهجمات مستهدفة من جهات تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتخاذ التدابير التالية:من المهم منح فريق مركز العمليات الأمنية في مؤسستك إمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات. تُعد Kaspersky Threat Intelligence هدفًا شاملاً لهذه المعلومات، ويمكن للفريق الاعتماد عليها لتزويدهم ببيانات الهجمات السيبرانية والرؤى والرؤى التي جمعتها Kaspersky على مدار أكثر من 20 عامًا.قم بتطوير مهارات فريق الأمن السيبراني في شركتك لتزويد أعضائه بالقدرة على التعامل مع أحدث التهديدات المستهدفة من خلال تدريب Kaspersky عبر الإنترنت الذي طوره خبراء فريق البحث والتحليل العالمي التابع لها.تنفيذ حل الكشف عن نقطة النهاية والاستجابة لها (EDR) مثل Kaspersky Next لاكتشاف الحوادث والتحقيق فيها وحلها في الوقت المناسببالإضافة إلى تنفيذ الحماية الأساسية لنقطة النهاية، قم بتنفيذ حل أمني على مستوى المؤسسة يكتشف تهديدات الشبكة المعقدة مبكرًا، مثل: ب. منصة Kaspersky Anti Targeted Attack.نظرًا لأن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى، فيجب توفير تدريب توعوي حول الجوانب الأمنية المختلفة ويجب تزويد الفريق بمهارات عملية، على سبيل المثال من خلال منصة Kaspersky Automated Security Awareness Platform.