كاسبرسكي تكشف عن هجوم سيبراني تجسسي على مؤسسة في جنوب القارة الأفريقية

الإثنين، 21 يوليو 2025 01:40 م

كاسبرسكي

محمد السيد

كشف خبراء خدمة الاكتشاف والاستجابة المدارة من كاسبرسكي، عن هجوم سيبراني تجسسي على مؤسسة في جنوب القارة الأفريقية، وأشاروا إلى صلته بمجموعة APT41 الصينية، ورغم محدودية نشاط مصدر التهديد في جنوب القارة الأفريقية، يوضّح هذا الحادث استهداف المهاجمين لخدمات تكنولوجيا المعلومات الحكومية في إحدى دول المنطقة، سعياً لسرقة معلومات مؤسسية حساسة بما فيها معلومات الدخول والوثائق الداخلية والكود المصدري والاتصالات.

هجمات مدروسة وخفية ومتواصلة على مؤسسات محددة

مجموعات التهديدات المتقدمة المستمرة (APT) هي فئة من مصادر التهديد التي تتميز بشن هجمات مدروسة وخفية ومتواصلة على مؤسسات محددة، خلافاً للحوادث الانتهازية والمنفردة التي تمثل غالبية أنشطة الجرائم السيبرانية، وساهم أسلوب الهجوم الذي تم رصده في جنوب القارة الأفريقية في تمكين كاسبرسكي من ربطه بثقة كبيرة بمجموعة APT41 الناطقة بالصينية، وكان الهدف الأساسي للهجوم هو التجسس السيبراني، وهو نمط معتاد لمصدر التهديد المذكور، حيث سعى المهاجمون لجمع معلومات حساسة من الأجهزة التي تمكنوا من اختراقها في شبكة المؤسسة، ونشاط مجموعة APT41 في جنوب القارة الأفريقية عادةً ما يكون محدوداً، حيث تركز المجموعة على التجسس السيبراني مستهدفة مؤسسات في عدة قطاعات، تشمل مقدمي خدمات الاتصالات، والمؤسسات التعليمية والصحية، وقطاعات تكنولوجيا المعلومات، والطاقة وغيرها، حيث رصد نشاطها في ما لا يقل عن 42 دولة.

المهاجمين وصلوا إلى شبكة المؤسسة من خلال خادم ويب مكشوف للإنترنت

بناءً على تحليل خبراء كاسبرسكي، يحتمل أن المهاجمين وصلوا إلى شبكة المؤسسة من خلال خادم ويب مكشوف للإنترنت، وباستخدام أسلوب جمع بيانات الاعتماد - المعروف تقنياً باسم تفريغ السجل (Registry Dumping) - استولى المهاجمون على حسابين في نطاق المؤسسة: الأول لديه صلاحيات إدارة محلية على كل أجهزة العمل، والثاني خاص بنظام النسخ الاحتياطي ويتمتع بصلاحيات إدارة النطاق، وأتاحت هذه الحسابات للمهاجمين اختراق المزيد من الأنظمة داخل المؤسسة.

أدوات السرقة المستخدمة لجمع البيانات هي نسخة معدلة من أداة Pillager

وكانت إحدى أدوات السرقة المستخدمة لجمع البيانات هي نسخة معدلة من أداة Pillager، المصممة لتصدير البيانات وفك تشفيرها، حيث قاموا بتحويل كودها من ملف قابل للتنفيذ إلى مكتبة ارتباط ديناميكي (DLL)، واستهدفوا من خلالها جمع بيانات الدخول المخزنة في المتصفحات وقواعد البيانات والأدوات الإدارية، بالإضافة إلى الكود المصدري للمشاريع، ولقطات الشاشة، وجلسات المحادثة النشطة وبياناتها، ومراسلات البريد الإلكتروني، وقوائم البرمجيات المثبتة، وبيانات دخول نظام التشغيل، وبيانات دخول شبكة الواي فاي، ومعلومات أخرى.

برنامج السرقة الثاني المستخدم في الهجوم فكان يحمل اسم Checkout

أما برنامج السرقة الثاني المستخدم في الهجوم فكان يحمل اسم Checkout، فبجانب معلومات الدخول المخزنة وسجل المتصفح، كان بإمكانه أيضاً جمع معلومات عن الملفات المحملة، وبيانات البطاقات الائتمانية المخزنة في المتصفح، كما استعان المهاجمون بأداة RawCopy ونسخة من Mimikatz تم تجميعها كمكتبة ارتباط ديناميكي (DLL) لاستخراج ملفات السجل وبيانات الدخول، مع استخدام Cobalt Strike للاتصال بخوادم قيادة التحكم (C2) على الأجهزة المخترقة.

المهاجمين اختاروا خادم SharePoint داخل البنية التحتية للضحية كإحدى قنوات التحكم والسيطرة

ويوضح دينيس كوليك، كبير محللي مركز العمليات الأمنية في خدمة الكشف والاستجابة المدارة لدى كاسبرسكي، «من اللافت أن المهاجمين اختاروا خادم SharePoint داخل البنية التحتية للضحية كإحدى قنوات التحكم والسيطرة (C2) إلى جانب Cobalt Strike، وتواصلوا معه باستخدام وكلاء C2 مخصصين مرتبطين بواجهة ويب خفية، ربما اختاروا SharePoint لأنه خدمة داخلية موجودة بالفعل في البنية التحتية ومن المستبعد أن تثير الشكوك، بالإضافة لذلك، في تلك الحالة، ربما وفرت أسهل وسيلة لتسريب البيانات والتحكم بالأجهزة المخترقة عبر قناة اتصال مشروعة.»

لا يمكن صد مثل هذه الهجمات المعقدة بدون خبرة متكاملة ورصد متواصل لكامل البنية التحتية

ويضيف دينيس كوليك: «عموماً، لا يمكن صد مثل هذه الهجمات المعقدة بدون خبرة متكاملة ورصد متواصل لكامل البنية التحتية، ومن المهم الحفاظ على تغطية أمنية شاملة لجميع الأنظمة باستخدام حلول تستطيع منع النشاطات الخبيثة آلياً في مراحلها الأولى - وتجنب إعطاء حسابات المستخدمين صلاحيات تزيد عن الحاجة».

اختراق صيني "خطير" لشبكة الحرس الوطني يكشف كيف توغلت بكين في الجسد الأمريكي

إيلون ماسك معلقا على سبب تعطل منصة إكس: هجوم سيبراني كبير

تابع موقع إيجي إن، عبر تطبيق (نبض) اضغط هــــــــنا
تابع موقع إيجي إن، عبر تطبيق (تليجرام) اضغط هــــــــنا
تابع موقع إيجي إن، عبر قناة (يوتيوب) اضغط هــــــــنا
تابع موقع إيجي إن، عبر تطبيق (واتساب) اضغط هــــــــنا

إيجي إن-Egyin، هو موقع متخصص في الصناعة والاقتصاد، ويهتم بتقديم خدمة صحفية متميزة للقارئ، وهدفنا أن نصل لقرائنا الأعزاء بالخبر الأدق والأسرع والحصري، إضافة للتغطية والمتابعة على مدار الـ 24 ساعة، لـ"أسعار الذهب، أسعار العملات، أسعار السيارات، أسعار المواد البترولية"، في مصر والوطن العربي وحول العالم.