كشف فريق البحث والتحليل العالمي في كاسبرسكي (GReAT) عن حملة جديدة من قبل مجموعة Lazarus سيئة السمعة تستهدف المؤسسات في جميع أنحاء العالم. وشمل البحث الذي تم تقديمه في قمة المحللين الأمنيين (SAS) عن حملة تهديدات متقدمة مستمرة، يتم توزيعها عبر برمجية خبيثة، ويتم نشرها عبر البرامج الشرعية.
اكتشف فريق البحث والتحليل العالمي سلسلة من الحوادث السيبرانية التي تضمنت إصابة أهداف عبر برامج شرعية مصممة لتشفير اتصالات الويب باستخدام الشهادات الرقمية. وعلى الرغم من الإبلاغ عن الثغرات وتصحيحها، لا تزال المنظمات حول العالم تستخدم الإصدار المصاب من البرنامج، وهو ما يوفر نقطة دخول لمجموعة Lazarus.
أظهر المجرمين مستوى عالٍ من التطور، حيث استخدم تقنيات التهرب المتقدمة وفعّل برمجية «SIGNBT» الخبيثة للسيطرة على الضحية. كما استخدمت المجموعة أداة LPEClient المعروفة جيداً، والتي شوهدت سابقاً في عمليات استهداف لكل من مقاولي في قطاع الدفاع والمهندسين النوويين وقطاع العملات المشفرة. تعمل هذه البرمجية الخبيثة كنقطة انتشار للعدوى وتلعب دوراً مهماً في تحديد سمات الضحية وإيصال الحمولة. وتشير ملاحظات باحثي كاسبرسكي إلى أن دور أداة LPEClient في هذه الهجمات وغيرها يتماشى مع أساليب مجموعة Lazarus، كما رأينا أيضًا في هجوم سلسلة التوريد الشهير الذي استهدف شركة 3CX.
كشفت التحقيقات الإضافية أن البرمجية الخبيثة التي أطلقتها مجموعة Lazarus قد استهدفت أولى ضحاياها، وهي شركة تزويد بالبرمجيات، في عدة مناسبات حتى الآن. يشير هذا النمط من الهجمات المتكررة إلى كون المجموعة مصممة ومركّزة بشدة، ومن المحتمل أن يكون القصد هو سرقة الكود المصدري شديد الأهمية أو تعطيل سلسلة توريد البرمجيات. استغل مصدر التهديد الثغرات في برمجيات الشركة ووسع من تأثيرها عبر استهداف الشركات الأخرى التي استخدمت الإصدار غير المصحح من البرنامج. تعرفت خدمة Endpoint Security من كاسبرسكي على التهديد بشكل استباقي، ومنعت بذلك المزيد من الهجمات ضد أهداف أخرى.
وتعليقاً على الحملة، قال سيونغسو بارك، باحث أمني رئيسي في فريق البحث والتحليل العالمي في كاسبرسكي: " إن النشاط المستمر لمجموعة Lazarus هو شهادة على قدراتها المتقدمة ومحفزاتها التي لا تتزعزع. إذ تعمل المجموعة على مستوىً عالمي، وتستهدف مجالاً واسعاً من القطاعات بمجموعة متنوعة من الأساليب. ويشير ذلك إلى تهديد مستمر ودائم التطور يتطلب مزيداً من اليقظة ".
لمعرفة المزيد من التفاصيل حول هذه الحملة الخبيثة، قم بزيارة موقع SecureList.com.
لتتجنب أن تقع ضحية هجوم مستهدف من مصدر تهديد معروف أو غير معروف، يوصي باحثو كاسبرسكي باتباع التدابير التالية:
- حدّث نظام التشغيل، والتطبيقات، وبرمجيات مضاد الفيروسات بانتظام لتصحيح أي ثغرات أمنية معروفة.
- احذر رسائل البريد الإلكتروني، أو الرسائل النصية، أو المكالمات التي تطلب معلومات حساسة. تحقق من هوية المرسل قبل مشاركة أي تفاصيل شخصية أو النقر على الروابط المشبوهة.
- زود فريق مركز العمليات الأمني الخاص بك بإمكانية الوصول إلى أحدث معلومات التهديدات. وتعد منصة The Kaspersky Threat Intelligence Portal نقطة وصول موحدة لمعلومات التهديدات، كما توفر بيانات الهجمات السيبرانية والمعلومات التي جمعتها كاسبرسكي عبر أكثر من 20 عاماً.
- درب فريق الحماية السيبرانية الخاص بك لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من كاسبرسكي والتي طورها خبراء فريق البحث والتحليل العالمي.
- لاكتشاف الحوادث على مستوى النقاط الطرفية والتحقيق بها وحلها في الوقت المناسب، قم بتطبيق حلول الاكتشاف والاستجابة للنقاط الطرفية مثل Kaspersky Endpoint Detection and Response.