كشفت شركة كاسبرسكي عن سلسلة جديدة من هجمات التهديدات المتقدمة المستمرة (APT) شنتها مجموعة (أواكين ليكو) Awaken Likho، واستهدفت منشآت حكومية وصناعية في روسيا.
كما حذرت كاسبرسكي من أن هذه المجموعة لا تزال نشطة، وقد طورت أساليبها لتتمكن من رفع فاعلية هجماتها وتجنب الاكتشاف.
وقد استغلت المجموعة في هذه الحملة منصة (MeshCentral) المفتوحة المصدر، التي تستخدم عادة لإدارة الأجهزة من بعد، كأداة رئيسية لتنفيذ هجماتها. إذ قام المهاجمون بتحميل برمجيات خبيثة إلى أجهزة الضحايا عبر روابط خبيثة وصلت إلى عناوين بريدهم الإلكتروني، مما سمح لهم بالتحكم الكامل في الأجهزة المستهدفة.
تطوير أساليب الهجوم:
بدأت مجموعة (Awaken Likho)، والمعروفة كذلك باسم (Core Werewolf)، نشاطها كمجموعة تهديدات متقدمة مستمرة منذ عام 2021 على الأقل، ولكنها شهدت زيادةً كبيرةً في نشاطها بالتزامن مع اشتعال الصراع الروسي الأوكراني.
وأثناء إجراء البحث بشأن عمليات المجموعة، اكتشف خبراء كاسبرسكي حملة خبيثة جديدة بدأت في شهر يونيو 2024 واستمرت حتى شهر أغسطس على الأقل. وتهدف هذه الحملة إلى التجسس السيبراني والتحكم في الأجهزة، وتستهدف بنحو خاص المنظمات الحكومية والصناعية ومقاوليها في روسيا.
ويكشف تحليل خبراء كاسبرسكي أن الحملة الأخيرة تضمنت تغييرات في أدوات وأساليب المجموعة، إذ استغل المهاجمون منصة (MeshCentral)، وهي منصة مفتوحة المصدر وقائمة على الويب تتيح الوصول إلى سطح المكتب من بُعد، وإدارة الأجهزة، ونقل الملفات، والمراقبة اللحظية.
ولتعزيز الوجود في الشبكة، حملت المجموعة برمجية خبيثة إلى أجهزة الضحايا بواسطة عنوان رابط خبيث يُعتقد أنه وصل عبر رسائل بريد إلكتروني تصيدية موجهة.
تحليل خبراء كاسبرسكي:
استخدم المهاجمون في حملات مماثلة سابقة محركات البحث لجمع معلومات واسعة النطاق عن الضحايا، وصياغة رسائل بريد إلكتروني تبدو مشروعة. وتضمنت رسائل البريد الإلكتروني هذه مرفقات خبيثة أو روابط تؤدي إلى تنزيل برامج ضارة، ولدى فتحها تقوم بتثبيت برمجية حصان طروادة مصممة للتجسس السيبراني.
واعتمادًا على أساليبهم، يمكن للمهاجمين الوصول إلى بيانات حكومية وصناعية حساسة، بما يشمل: المعلومات، والخطط، والاتصالات السرية، وتفاصيل عمليات البنية التحتية. وبجانب ما سبق، قد يتمكن المهاجمون من السيطرة الكاملة على أجهزة الضحايا، مما يسمح لهم بتعطيل العمليات، أو التلاعب بالأنظمة، أو شن المزيد من الهجمات داخل الشبكات المخترقة.
وبالنظر إلى التكتيكات، والأساليب، والإجراءات المستخدمة، فضلًا عن المعلومات المتعلقة بالضحايا، ينسب خبراء كاسبرسكي هذه الحملة لمجموعة التهديدات المتقدمة المستمرة (Awaken Likho) بدرجة عالية من الثقة.
وقال أليكسي شوملين، الخبير الأمني في كاسبرسكي: “تستمر التوترات الجيوسياسية كونها محركًا رئيسيًا لهجمات التهديدات المتقدمة المستمرة، التي تتطور بسرعة مع تحسين المهاجمين لأساليبهم لتجنب اكتشافها وزيادة أضرارها. وتعيد هذه الهجمات التأكيد على الحاجة الملحة إلى اتخاذ تدابير أمنية شاملة، وخاصةً في القطاعين الحكومي والصناعي، إذ يشكلان أهدافًا رئيسية لمصادر التهديد. وتُعدّ إستراتيجيات الدفاع الاستباقية ومعلومات التهديدات اللحظية ضرورية لمواجهة هذه التهديدات المتطورة بشكل متزايد”.
نصائح للحماية:
لحماية نفسك من الوقوع ضحية لهجمة موجهة، سواء بواسطة مصدر تهديد معروف أو غير معروف، يوصي خبراء كاسبرسكي بتنفيذ الإجراءات التالية:
- زود فريق مركز العمليات الأمني (SOC) بالوصول إلى أحدث معلومات التهديدات (TI). وتُعدّ منصة Kaspersky Threat Intelligence Portal نقطة وصول فردية لمعلومات التهديدات الخاصة بكاسبرسكي، إذ توفر بيانات ورؤى عن الهجمات السيبرانية جمعتها الشركة على مدار أكثر من 20 عامًا.
- طوّر مهارات فريق الحماية السيبرانية لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من شركة كاسبرسكي، التي طورها خبراء فريق GReAT.
- استخدم حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) مثل سلسلة منتجات Kaspersky Next لاكتشاف التهديدات على مستوى النقاط الطرفية، والتحقيق بشأنها، والاستجابة السريعة للحوادث.
- بجانب اعتماد حماية أساسية للنقاط الطرفية، استخدم حلًا أمنيًا على مستوى الشركات يمكنه اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة مثل حل Kaspersky Anti Targeted Attack Platform.
- نظرًا إلى بدء العديد من الهجمات الموجهة بالتصيد الاحتيالي أو أساليب الهندسة الاجتماعية الأخرى، قدم لفريقك تدريبات من شأنها رفع وعيهم الأمني وزودهم بالمهارات العملية، وذلك من خلال منصة Kaspersky Automated Security Awarenss Platform.