قراصنة دوليون يستغلون تطبيقات مايكروسوفت أوفيس لنشر برامج تجسس

اكتشف باحثو شركة بوستيف تكنولوجي (Positive Technologies) التي تعمل في مجال اكتشاف التهديدات السيبرانية حملة جديدة تقوم بها مجموعة قرصنة دولية استهدفت من خلالها أكثر من 300 شركة على مستوى العالم مستخدمة الملفات المرفقة بالبريد الإلكتروني، إذ سمح لهم هذا التكتيك بإرسال برمجيات ضارة وبرامج تجسس متنوعة لأنظمة الشركات وأجهزة المستخدمين بهدف الحصول على البيانات الشخصية وبيانات تسجيل الدخول.

استخدام تكتيك هجوم إخفاء المعلومات لتسليم البرمجيات الضارة

وفقاً للباحثين، فإن الهجوم الذي قامت به مجموعة القرصنة العالمية تي أيه 558 (TA558) يستخدم تكتيك إخفاء المعلومات داخل الصور والملفات النصية، للتعتيم على إرسال البرامج الضارة لأجهزة الضحايا، وقد أطلقت المجموعة على حملة الهجوم الاسم الرمزي (SteganoAmor).

تبدأ عملية الهجوم بأكملها عبر رسالة بريد إلكتروني تحتوي على ملفات مرفقات مستندات (وورد وإكسل) تستغل الثغرة الأمنية عالية الخطورة (CVE-2017-11882) التي تسمح بتشغيل تعليمات برمجية عشوائية، إذ تقوم الثغرة الأمنية بتنزيل برنامج نصي بصيغة فيجوال بيسك، يجلب بدوره حمولة المرحلة التالية التي تقوم بتنزيل صورتين من عنوان ويب خارجي.

تُضمَّن الصور التي تم تنزيلها مع برمجية ضارة مشفرة تقوم في النهاية باسترداد البرامج الضارة وتنفيذها على جهاز الضحية، ولجعل رسالة البريد الإلكتروني تبدو موثوقاً بها، تستخدم مجموعة القرصنة خوادم بريد إلكتروني (SMTP) و(FTP) شرعية اخترقتها مسبقاً لتقليل فرص حظر الرسائل بسبب قدومها من عناوين (URL) شرعية.

#TA558 attacker is back with malicious JavaScript.

Now they download a Spiderman image which looks valid, but at the end has <BASE64_START> and <BASE64_END> tags.

The PowerShell spawned ensures that this string stream is extracted and decoded to helper DLL, which ends up… pic.twitter.com/WySHr9j3WY

— Ankit Anubhav (@ankit_anubhav) August 10, 2023

وقد رصد الباحثون مجموعة كبيرة من البرمجيات الضارة التي تُستقبل على أجهزة الضحايا، بما في ذلك:

برمجية أيجينت تسلا (AgentTesla): برمجية تجسس تعمل على سرقة تفاصيل تسجيل الدخول ومراقبة ضغطات لوحة المفاتيح وجمع بيانات حافظة النظام والتقاط لقطات الشاشة واستخراج المعلومات الحساسة الأخرى.
برمجية فورم بوك (FormBook): تعمل على حصد بيانات تسجيل الدخول من متصفحات الويب المختلفة، بالإضافة إلى جمع لقطات الشاشة ومراقبة ضغطات المفاتيح وتسجيلها، وتنزيل الملفات وتنفيذها وفقاً للأوامر التي تتلقاها.
برمجية ريمكوس (Remcos): تسمح للمهاجم بإدارة الجهاز المخترَق عن بُعد وتنفيذ الأوامر وحفظ ضغطات لوحة المفاتيح وتشغيل كاميرا الويب والميكروفون من أجل المراقبة.
برمجية لوكي بوت (LokiBot): تعمل على سرقة المعلومات والبيانات الشخصية مثل أسماء المستخدمين وكلمات المرور وغيرها من المعلومات المتعلقة بالعديد من التطبيقات شائعة الاستخدام.
برمجية سناك كيلوغر (Snake Keylogger): تُستخدم لسرقة البيانات وتسجيل ضغطات لوحة المفاتيح وجمع بيانات حافظة النظام والتقاط لقطات الشاشة وحصد بيانات التسجيل من متصفحات الويب.
برمجية إكس وورم (XWorm): تُستخدم للوصول عن بُعد، والذي يمنح المهاجم التحكم كلياً في جهاز الضحية عن بُعد.

بالإضافة إلى ذلك، غالباً ما تُخزّن الحمولات النهائية والبرامج النصية الضارة في خدمات سحابية شرعية مثل جوجل درايف للتهرب من كشفها بواسطة برامج مكافحة الفيروسات، علاوة على ذلك تُرسل المعلومات والبيانات المسروقة إلى خوادم البريد الإلكتروني الشرعية المخترقة المستخدمة على أنها بنية تحتية للقيادة والتحكم لجعل حركة المرور تبدو طبيعية.

أكثر من 320 ضحية من مختلف دول العالم

وفقاً للباحثين، فإن مجموعة القرصنة تي أيه 558 (TA558)، التي تنشط منذ العام 2018 وتعمل غالباً من أجل دوافع مالية وتستهدف بصورة أساسية شركات الضيافة والسياحة في أميركا اللاتينية وأميركا الشمالية وأوروبا الغربية، عملت من خلال حملتها الجديدة (SteganoAmor) على استهداف مختلف القطاعات الاقتصادية والبلدان، مع التركيز خصوصاً على القطاع الصناعي وقطاع الخدمات.

حيث أرسلت المجموعة معظم رسائل البريد الإلكتروني إلى الشركات المستهدفة في أميركا اللاتينية، ومع ذلك كانت نسبة كبيرة من الرسائل المرسلة موجهة إلى شركات في روسيا ورومانيا وتركيا ولبنان والمغرب وبعض البلدان الأخرى، وقد وصل مجموع الضحايا الذين استهدفتهم المجموعة إلى أكثر من 320 ضحية حول العالم.

بالإضافة إلى ذلك، تمتلك المجموعة حساباً نشطاً على منصات التواصل الاجتماعي يضم عدة آلاف من المشتركين ورابطاً لموقع ويب، كما أنشأت المجموعة بعض نطاقات (SMTP) الخاصة بها؛ لجعل أنشطتها تبدو مشروعة.

كيفية حماية معلوماتك وبيانات شركتك من هذا الهجوم؟

وفقاً للباحثين، فإن استخدام مجموعة القرصنة لتكتيك هجوم إخفاء المعلومات (Steganography Attack) يُعد ممارسة قديمة إلا أنها فعالة للغاية في حالة نجاحها، ومن ثم للحماية من الوقوع ضحية لمثل هذا الهجوم ينبغي على الأفراد والشركات تنفيذ العديد من التدابير الأمنية، بما فيها:

عدم الضغط على الروابط المرفقة

احذر من النقر على الروابط المشبوهة أو زيارة مواقع الويب غير الموثوقة لأنها قد تحتوي على محتوى ضار، بالإضافة إلى ذلك عليك توخي الحذر عند فتح رسائل البريد الإلكتروني الواردة من مصادر غير معروفة لأنها قد تكون جزءاً من هجمات التصيد الاحتيالي.

حماية نقطة النهاية

انشر حلول أمان نقاط النهاية (Endpoint Security) المتقدمة التي تتضمن الكشف عن البرامج الضارة في الوقت الفعلي؛ من خلال تحديث برامج مكافحة الفيروسات والبرامج الضارة بانتظام لضمان وجود أحدث تعريفات التهديدات، حيث يمكن للنهج متعدد الطبقات لأمن نقطة النهاية أن يمنع البرامج الضارة من التسلل إلى الشبكة من خلال نقاط النهاية الضعيفة، كما يؤدي إلى اكتشاف الأنشطة الضارة والتصدي لها على نحو فعال.

تنفيذ تدابير التحليل السلوكي

من خلال نشر حلول أمنية متقدمة؛ يستخدم التحليل السلوكي (Behavioral Analysis) للكشف عن الحالات الشاذة في الأنظمة وتحديد أنماط الأنشطة غير العادية التي تشير إلى وجود برامج ضارة، إذ يمكن أن يساعد هذا النهج الاستباقي في اكتشاف التهديدات المعقدة قبل أن تؤدي إلى تعريض جهازك أو أنظمة شركتك للخطر بصورة كاملة.

تفعيل تدابير أمان البريد الإلكتروني

استخدم حلول أمان البريد الإلكتروني القوية للكشف عن المرفقات والروابط الضارة وحظرها، مثل استخدام تقنيات الحماية المتقدمة من التهديدات (ATP) وبرامج تصفية البريد الإلكتروني، لمنع استقبال رسائل البريد الإلكتروني التي تحتوي على محتوى ضار.

تحديث مجموعة تطبيقات مايكروسوفت أوفيس

من خلال تحديث مجموعة تطبيقات مايكروسوفت أوفيس (MS Office)، يمكنك منع البرامج الضارة من استغلال ثغرة (CVE-2017-1182) لإصابة جهازك، إذ إن مايكروسوفت قامت بتصحيح هذه الثغرة الأمنية منذ سنوات، لكن بسبب عدم قيام المستخدمين بتحديث تطبيقات أوفيس المكتبية أو ترقيتها للإصدار الأحدث، يستغلها القراصنة لتنفيذ هجماتهم.