اكتشف باحثو كاسبرسكي العالمية، حملتين خبيثتين جديدتين تديرهما المجموعة المسؤولة عن تهديدات Careto المتقدمة المستمرة سيئة السمعة، وذلك في أول نشاط لها منذ عام 2013.
ومن خلال إظهار مستوى عالٍ بشكل ملحوظ من التطور، شن المخترقون حملتين معقدتين للتجسس السيبراني باستخدام إطار عمل متعدد الوسائط، إذ يتيح هذا الإطار تسجيل مدخلات الميكروفون، وسرقة مجموعة واسعة من الملفات والبيانات، والتحكم الشامل في الجهاز المصاب، واستهدفت الحملات منظمات في أمريكا اللاتينية ووسط أفريقيا.
وتُعرف Careto، وهي مجموعة تستخدم التهديدات المتقدمة المستمرة، بهجماتها المتطورة التي تستهدف في المقام الأول المنظمات الحكومية، والهيئات الدبلوماسية، وشركات الطاقة، والمؤسسات البحثية، حيث تمت ملاحظة نشاط مصدر التهديدات المتقدمة المستمرة هذا منذ عام 2007، واستمر حتى عام 2013.
جدير بالذكر، أن أخبار هذه المجموعة قد انقطعت تماماً منذ ذلك الوقت، ويكشف باحثو كاسبرسكي، في تقريرهم الربع سنوي حول اتجاهات التهديدات المتقدمة المستمرة، عن التفاصيل الكامنة وراء الحملات الخبيثة الأخيرة، والتي ينسبونها إلى مجموعة Careto.
وكان الناقل الأولّي للعدوى، الذي استخدمه المهاجمون لاختراق المؤسسة، هو الخادم المسؤول عن تشغيل برمجية البريد الإلكتروني، MDaemon، حيث أصيب هذا الخادم بثغرة باب خلفي مستقل، مما منح المهاجم سيطرة كاملة على الشبكة.
وللانتشار داخل الشبكة الداخلية، استغل مصدر التهديد خطأً لم يتم رصده مسبقاً في أحد الحلول الأمنية، مما أتاح التوزيع السري للبرمجيات الخبيثة عبر أجهزة متعددة، كما قام المهاجمون بنشر أربع برمجيات مخفية متطورة ومتعددة الوحدات مصممة بخبرة احترافية للتأثير الحجمي.
وباعتبارها إطاراً متعدد الوسائط، تتضمن البرمجية الخبيثة وظائف، مثل تسجيل الميكروفون وسرقة الملفات، بهدف الحصول على تكوينات النظام، وبيانات تسجيل الدخول، وكلمات المرور، والمسارات إلى المجلدات المخزنة محلياً على الجهاز، والمزيد ولوحظ أن المشغلين مهتمون بشكل خاص بالمستندات السرية للمؤسسة، وملفات تعريف الارتباط، وسجل النماذج، وبيانات تسجيل الدخول لمتصفحات Edge، وChrome، وFirefox، وOpera، بالإضافة إلى ملفات تعريف الارتباط من Threema، وتطبيقي المراسلة WeChat وWhatsApp.
ووفقاً لما رصدته كاسبرسكي، فإن الضحايا الذين استهدفتهم برمجيات Careto المزروعة والمكتشفة حديثاً هم منظمة في أمريكا اللاتينية، تم اختراقها سابقاً بواسطة Careto في 2022 و2019 ومنذ أكثر من 10 سنوات، بجانب منظمة أخرى في وسط أفريقيا.
وعلّق جورجي كوشيرين، الباحث الأمني في فريق البحث والتحليل العالمي في كاسبرسكي، قائلاً: «تمكنت تهديدات مجموعة Careto المتقدمة المستمرة من تطوير برمجيات خبيثة تظهر مستوى عالٍ من التعقيد بشكل ملحوظ، على مر السنين. وتعد الغرسات المكتشفة حديثاً عبارة عن أطر معقدة متعددة الوسائط، مع تكتيكات وأساليب نشر فريدة ومتطورة.
ويشير وجودها إلى الطبيعة المتقدمة لعمليات Careto، سنواصل مراقبة أنشطة مصدر التهديد هذا عن كثب، حيث نتوقع أن يتم استخدام البرمجيات الخبيثة المكتشفة ضمن هجمات Careto المستقبلية.»
ولحماية نفسك من الوقوع ضحية هجوم موجّه، سواء من مصدر تهديد معروف أو لا، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
• زوِّد فريق مركز العمليات الأمنية (SOC) بالوصول إلى أحدث معلومات التهديدات (TI).
• درّب فريق الحماية السيبرانية الخاص بك لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من كاسبرسكي والتي طورها خبراء GReAT.
• طبق حلول الاكتشاف والاستجابة للنقاط الفرعية للكشف عن الحوادث، والتحقيق فيها، ومعالجتها في الوقت المناسب على مستوى النقاط الطرفية.
بالإضافة إلى اعتماد الحماية الأساسية للنقطة الطرفية، ويمكنك تطبيق حل أمني على مستوى الشركة يكتشف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة.
