عصابة «DeathStalker» تهاجم المؤسسات وشركات العملات الرقمية والصرافة
أظهرت دراسة تحليلية صادرة عن كاسبرسكس العالمية أن العصابة الرقمية DeathStalker طورت مجموعة أدوات VileRat التخريبية لمهاجمة الشركات العاملة في مجالات العملات الرقمية وصرافة العملات الأجنبية في ألمانيا ودولة الإمارات وبلغاريا وروسيا وجزر غرينادين وقبرص والكويت ومالطا، في العام 2022.
وتُعدّ DeathStalker من العصابات سيئة السمعة التي تراقبها كاسبرسكي منذ العام 2018، وتستهدف في الأساس شركات المحاماة والمؤسسات العاملة في القطاع المالي.
وتتسم هجمات هذه العصابة بأنها ليست ذات دوافع سياسية أو مالية.
ويرى باحثو كاسبرسكي أن DeathStalker تعمل كعصابة مرتزِقة تقدم خدمات تخصصية في القرصنة أو الاستخبارات المالية.
وكان الباحثو قد نشروا في العام 2020 تقريرًا عن DeathStalker وأنشطتها التخريبية، التي تشمل حملات Janicab وEvilnum وPowerSing وPowerPepper. واكتشف الخبراء في منتصف العام 2020 إصابة جديدة شديدة القدرة على المراوغة، تقوم على غرسة برمجية تُدعى VileRAT مبنية بلغة Python البرمجية. وظلّ الخبراء يراقبون عن كثب نشاط العصابة منذ ذلك الحين، فلاحظوا تركيزها على استهداف شركات تداول العملات الأجنبية، مثل FOREX، وشركات تداول العملات الرقمية في جميع أنحاء العالم خلال العام 2022.
وتُستخدم البرمجية الخبيثة VileRat في العادة بعد سلسلة إصابات معقدة تبدأ برسائل البريد الإلكتروني. واستطاع المهاجمون أيضًا هذا الصيف، استغلال روبوتات الدردشة المُضمَّنة في مواقع الويب التابعة للشركات المستهدفة، فأرسلوا من خلالها مستندات خبيثة، عبارة عن ملفات docx تحمل أسماء تتضمّن كلمات دالّة على "الامتثال" أو "الشكوى"، بالإضافة إلى اسم الشركة المستهدفة، سعيًا منهم إلى إخفاء الهجوم تحت ستار الإجابة على طلب تحديد الهوية أو الإبلاغ عن مشكلة.
رسالة قائمة على مبادئ الهندسة الاجتماعية تتضمن ملف DOCX خبيثًا
وتتسم حملة VileRAT بتطوّر أدواتها وبنيتها التحتية الخبيثة الواسعة، مقارنةً بأنشطة DeathStalker الموثقة سابقًا، وبتقنيات التشويش العديدة المستخدمة طوال فترة الإصابة، فضلًا عن نشاطها المستمر منذ العام 2020. ويتبيّن من حملة VileRAT أن العصابة تبذل جهدًا هائلًا في تطوير أهدافها والحفاظ عليها. وتتضمّن الأهداف المحتملة للهجمات تحقيق العناية الواجبة، واسترداد الأصول، والتقاضي أو دعم قضايا محدّدة، والالتفاف حول العقوبات، وغيرها من الأهداف التي لا تبدو أنها تمثل مكاسب مالية مباشرة.
لا تُظهر حملة VileRat اهتمامًا باستهداف بلدان معينة، فقد رصد باحثو كاسبرسكي هجمات متقدمة عشوائية في جميع أنحاء العالم، إذ حدثت محاولات اختراق لمؤسسات في ألمانيا ودولة الإمارات وبلغاريا وروسيا وجزر غرينادين وقبرص والكويت ومالطا. وتتراوح المؤسسات المستهدفة بين شركات ناشئة حديثة ومؤسسات عريقة.
وتحرص DeathStalker دائمًا على تجنّب انكشاف هجماتها، لكن حملة VileRAT نقلت ذلك الحرص إلى مستوى أعلى؛ نظرًا لكونها "أكثر حملات هذه العصابة تعقيدًا وقدرة على التشويش والمراوغة".
وثبت لنا أن تكتيكات DeathStalker وممارساتها كافية لإصابة أهداف سهلة عندما لا يكون للمؤسسات خبرة كافية لتحمّل مثل هذا المستوى من المثابرة، وربما لم تجعل، سواء هي أو الأطراف الخارجية التي تتعامل معها، الأمن الرقمي أحد أولوياتها العليا".
يوصي الخبراء المؤسسات باتباع التدابير التالية للحماية من هجمات مثل VileRat:
• تزويد فريق مركز العمليات الأمنية بالقدرة على الوصول إلى أحدث معلومات التهديدات.
• تحسين مهارات فريق الأمن الرقمي لتمكينهم من معالجة أحدث التهديدات الموجهة من خلال الدورات التدريبية عبر الإنترنت والتي طورها خبراء فريق البحث والتحليل العالمي.
• استخدام حلّ للكشف عن التهديدات والاستجابة لها عند النقاط الطرفية على مستوى المؤسسات ويمكن اكتشاف التهديدات الحقيقية الكامنة وسط أعداد هائلة من التنبيهات بفضل الدمج التلقائي للتنبيهات في الحوادث، إضافة إلى تحليل الحادث والاستجابة له بأكثر الطرق فاعلية.
• بالإضافة إلى اعتماد الحماية الأساسية للنقاط الطرفية، يوصى بتنفيذ حلّ أمني على المستوى المؤسسي لاكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة.
• تقديم تدريب لرفع الوعي الأمني والمهارات العملية للموظفين، باستخدام أدوات نظرًا لأن العديد من الهجمات الموجهة تبدأ بأساليب الهندسة الاجتماعية، كالتصيد.