هجمات سيبرانية متقدمة تستهدف شركات الاتصالات والحكومات بجنوب شرق آسيا
تاريخ النشر: 1st, December 2024 GMT
كشفت شركة "تريند مايكرو" (Trend Micro) عن أن مجموعة تهديد متقدمة مرتبطة بالصين تُعرف باسم Earth Estries تستخدم برمجية خلفية جديدة، غير موثقة سابقًا، تُدعى GHOSTSPIDER.
بحسب"techlabari" تستهدف هذه الهجمات شركات الاتصالات في جنوب شرق آسيا، كما تضمنت استخدام برمجية خلفية أخرى تُعرف باسم MASOL RAT تعمل عبر منصات متعددة، خاصة على أنظمة "لينكس" في شبكات حكومية بالمنطقة.
تمكنت Earth Estries من اختراق أكثر من 20 جهة شملت قطاعات الاتصالات، التكنولوجيا، الاستشارات، الكيماويات، النقل، بالإضافة إلى وكالات حكومية ومنظمات غير ربحية. وتم رصد الضحايا في أكثر من 12 دولة منها:
آسيويًا: إندونيسيا، ماليزيا، الفلبين، تايوان، تايلاند، وفيتنام.
دوليًا: الولايات المتحدة، جنوب أفريقيا، البرازيل، وأفغانستان.
أنشطة موجهة منذ عام 2020بحسب ما أفاد التقرير، تمتلك المجموعة نشاطات مشابهة لمجموعات معروفة مثل FamousSparrow وGhostEmperor.
وتُعد نشطة منذ 2020، حيث اعتمدت على مجموعة متنوعة من البرامج الضارة لاختراق كيانات الاتصالات والحكومات في آسيا والمحيط الهادئ والشرق الأوسط وجنوب أفريقيا.
أساليب الاختراق والأدوات الضارةتعتمد Earth Estries على استغلال ثغرات أمنية معروفة في أنظمة مثل:
Ivanti Connect Secure: (CVE-2023-46805 وCVE-2024-21887).
Sophos Firewall: (CVE-2022-3236).
Microsoft Exchange Server: سلسلة ثغرات ProxyLogon.
وبعد الاختراق، يتم نشر أدوات مخصصة مثل Deed RAT وDemodex وGHOSTSPIDER، مما يمكّن المجموعة من تنفيذ أنشطة تجسس طويلة المدى.
وتشمل برامجها الضارة الأخرى: Crowdoor, SparrowDoor, HemiGate, TrillClient, Zingdoor.
وفقًا للباحثين الأمنيين فأن Earth Estries هي مجموعة منظمة بدقة، حيث يتم تقسيم العمل بين فرق متعددة تتخصص في مناطق مختلفة.
تُظهر البنية التحتية للقيادة والتحكم المستخدمة تنوعًا في الإدارة، مما يعكس مدى تعقيد عمليات المجموعة.
التحديات الأمنية ومخاطر الاتصالاتتُعد شركات الاتصالات هدفًا رئيسيًا لتهديدات مماثلة من مجموعات صينية أخرى مثل Granite Typhoon وLiminal Panda.
وأكدت CrowdStrike أن هذه الهجمات تشير إلى تطور كبير في البرنامج السيبراني الصيني، حيث تحولت الهجمات من عمليات منفصلة إلى جمع بيانات ضخمة واستهداف طويل الأمد لمقدمي الخدمات.
المصدر: صدى البلد
كلمات دلالية: شركات الاتصالات اختراق هجمات سيبرانية المزيد المزيد
إقرأ أيضاً:
كاسبرسكي تكشف حملة سيبرانية تستخدم الذكاء الاصطناعي لإنشاء مواقع مزيفة تنتحل Syncro
اكتشفت كاسبرسكي حملة خبيثة يستخدم فيها المهاجمون مواقع إلكترونية يتم إنشاؤها باستخدام الذكاء الاصطناعي لنشر إصدارات من Syncro، وهي أداة شرعية للوصول عن بُعد.
تجذب هذه المواقع المزيفة المستخدمين عبر محركات البحث أو رسائل بريد إلكتروني خادعة.
وتقلّد مواقع معروفة مثل محافظ العملات المشفرة أو برامج مكافحة الفيروسات، لتدفع الضحية إلى تحميل برامج تبدو طبيعية لكنها تُستخدم لاحقاً في نشاطات خبيثة.
كما تستخدم الحملة تنبيهات أمنية مزيفة لبثّ الخوف، وهو ما يسمح للمجرمين بالتحكم بجهاز الضحية وسرقة أموال الرقمية.
يعتمد المهاجمون على أداة (Lovable) التي تولّد مواقع إلكترونية باستخدام تقنيات الذكاء الاصطناعي، ويستغلونها لإنشاء صفحات تبدو احترافية المظهر، مع اختيار نطاقات شبيهة بالاستعلامات الشائعة حول مواضيع معينة مثل Polymarket، وهي منصة تنبؤ متعددة الوظائف. ولا تكون هذه المواقع المزيفة نسخاً مطابقة للمواقع الأصلية، بل يبتكر المهاجمون نسخاً مشابهة بصرياً بدرجة كبيرة، ما يجعل اكتشافها صعباً عند النظرة الأولى.
وتجذب هذه المواقع المستخدمين عبر نتائج البحث أو رسائل البريد الإلكتروني الاحتيالية، التي تقدم وعوداً وهمية لنقل رموز رقمية، أو تدعو إلى تثبيت تطبيق تداول أو برامج مكافحة الفيروسات أو تحديث بعض البرامج. وفي نهاية المطاف يثبت المستخدمون أداة Syncro الشرعية، التي تستخدمها عادة فرق تكنولوجيا المعلومات للتحكم والإدارة عن بُعد. وتكون هذه الأداة، ضمن سيناريو الهجوم المذكور، معدة مسبقاً لتتيح وصولاً كاملاً للمهاجمين إلى جهاز الضحية، فيتسنى لهم مراقبة الشاشة، واستعراض الملفات، وتنفيذ الأوامر، ويتم ذلك دون أي رد فعل من برامج مكافحة الفيروسات نظراً لأنها ليست برمجية خبيثة بذاتها.
قال فلاديمير جورسكي، محلل البرمجيات الخبيثة لدى كاسبرسكي: «تبين هذه الحملة مدى التطور والتعقيد في مشهد التهديدات السيبرانية؛ إذ يستغل المجرمون الأدوات الشرعية في عمليات الاحتيال المدارة بالذكاء الاصطناعي.
ويستفيد أولئك المجرمون من أتمتة عملية إنشاء مواقع إلكترونية مزيفة، فيوسعون نطاق هجماتهم مستغلين ثقة المستخدمين ببعض العلامات التجارية المألوفة لديهم، أو انخداعهم بالتنبيهات الأمنية الملحة والمضلِّلة.
وتذكرنا هذه الحملة بأنّ الثقة بشرعية المصدر غير كافية، فحتى البرامج الموقعة رقمياً من مصادر موثوقة تستدعي التحقق منها»
للحماية من هجمات كهذه، توصي كاسبرسكي بالامتناع عن تنزيل الملفات من مصادر غير موثوقة، لاسيما في الأجهزة المستخدمة في المعاملات المالية أو العملات الرقمية. كما ينبغي التحقق دوماً من عناوين URL للمواقع الإلكترونية ومقارنتها بالعناوين الرسمية قبل تصفحها، ويجب الحذر من أدوات الوصول عن بعد المقترحة للتثبيت أو المثبتة في الجهاز. كما تنصح كاسبرسكي بضرورة تفعيل ميزات مكافحة التصيد الاحتيالي، وتنفيذ عمليات تدقيق أمنية دورية.
من عالم العقارات إلى الدبلوماسية الفظة.. كيف انعكست النزعة الفوقية في هفوات خطاب توم براك؟