WildPressure تستهدف مستخدمي macOS في الشرق الأوسط بتروجان متطور

متميز

تُطلق "فيرجن موبايل الإمارات" خاصية التسجيل إلى الهوية الرقمية UAE Pass للاشتراك ولتفعيل شريحة eSIM الرقمية لأول مرة في الإمارات العربية المتحدة

أبريل 3, 2024 | اتصالات, تواصل

تتعقب كاسبرسكي منذ أغسطس 2019 التروجان Milum، الذي تستخدمه عصابة WildPressure، إحدى جماعات التهديدات المتقدمة المستمرة التي تنشط في منطقة الشرق الأوسط. واكتشف باحثو كاسبرسكي أثناء التحقيق في أحد أحدث الهجمات التي نفذتها العصابة واستهدفت ما يبدو أنها جهة صناعية، وجود إصدارات أحدث من البرمجية الخبيثة مكتوبة بلغات برمجية مختلفة، بينها إصدار قادر على إصابة النظامين Windows وmacOS والعمل عليهما.

وكثيرًا ما تتكشف أمور مهمة عند البحث في التفاصيل الدقيقة لبعض الدلالات الكامنة في التهديدات الرقمية، وهو ما حدث في هذه الحملة التخريبية. وبمجرد أن ينجح التروجان في إصابة جهاز ما، فإنه عادة ما يُرسل إلى الخوادم التابعة للمهاجمين إشارة تحتوي على معلومات حول الجهاز وإعدادات الشبكة واسم المستخدم ومعلومات أخرى متصلة، ما يساعد المهاجمين في تحديد ما إذا كانت تُرجى من الجهاز المصاب أية منفعة أو مصلحة. إلا أنه في هذه الحملة، أرسل التروجان Milum معلومات إضافية حول لغة البرمجة التي كُتب بها. وكان باحثو كاسبرسكي اشتبهوا، عند التحقيق لأول مرة في الحملة في العام 2020، في أن هذا الأمر يشير إلى وجود إصدارات مختلفة من هذا التروجان بلغات مختلفة، وهو ما تأكّد توًّا للباحثين.

وكانت كاسبرسكي رصدت في ربيع هذا العام هجومًا شنته WildPressure بمجموعة من أحدث إصدارات التروجان Milum. وتحتوي الملفات المكتشفة على تروجان بإصدار مكتوب بلغة C++ وإصدار مماثل مكتوب بلغة Visual Basic Script (VBScript). كذلك كشفت تحقيقات إضافية في هذا الهجوم عن إصدار آخر من البرمجية الخبيثة مكتوب بلغة Python، التي طُوّرت خصيصًا لنظامي التشغيل WindowsوmacOS. وكانت جميع الإصدارات الثلاثة من التروجان قادرة على تنزيل الأوامر من المشغل وتنفيذها، وجمع المعلومات، وترقية نفسها إلى إصدارات أحدث.

هذا، ويندر وجود برمجية خبيثة متعددة الأنظمة قادرة على إصابة أجهزة عاملة على النظام macOS. وكانت العينة التي خضعت للتحرّي قد نُقلت إلى الجهاز المصاب ضمن باقة اشتملت على البرمجية الخبيثة ومكتبة Python ونصًا باسم Guard، الأمر الذي أدى إلى تمكين البرمجية من العمل على كل من Windows وmacOS مع بذل جهد إضافي قليل في هذا الجانب. وتشغِّل البرمجية الخبيثة، بمجرد إصابة الجهاز، رمزًا يختلف باختلاف نظام التشغيل، لضمان استمرارها وجمعها للبيانات. وتُجمع البيانات في Windows في ملف قابل للتنفيذ باستخدام PyInstaller. كما أن التروجان Python قادر من جانبه على التحقق مما إذا كانت الحلول الأمنية قيد التشغيل على الجهاز.

ويحتفظ مشغلو WildPressure بمصالحهم في المنطقة الجغرافية التي ينشطون بها، وفق ما أوضح دنيس ليغيزو الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، والذي قال إن واضعي التروجان طوروا إصدارات متعددة من تروجانات مماثلة، ولديهم نظامهم الخاص لبناء الإصدارات، مرجّحًا أن السبب وراء تطوير إصدارات مماثلة لمختلف الأنظمة بلغات متعددة من البرمجية الخبيثة يعود إلى الرغبة في تقليل الفرصة لاكتشافها. وأضاف: “اتباع هذه الاستراتيجية ليس أمرًا فريدًا في أوساط الجهات التخريبية، لكننا نادرًا ما نرى برمجية يتم تعديلها للعمل على نظامين في وقت واحد، حتى في شكل نصّ Python برمجي. وتشمل المواصفات الأخرى المثيرة للاهتمام أن أحد أنظمة التشغيل المستهدفة هو النظام macOS، ما اعتُبر هدفًا مفاجئًا بالنظر إلى المنطقة الجغرافية المستهدفة”.

يمكن الاطلاع على معلومات أوفى عن عينات WildPressure الجديدة على Securelist. كما يمكن مشاهدة ورشة حول إجراءات الهندسة العكسية لعينات WildPressure في مقطع فيديو يقدمه الخبير الأمني دنيس ليغيزو.

ويوصي خبراء كاسبرسكي باتباع التدابير التالية لتجنب الوقوع ضحية لهجوم موجّه:

فمن الضروري استخدام حل أمني موثوق به بغض النظر عن نوع النظام والأجهزة التي تعمل عليه، فالواقع يقول إن نظام التشغيل الأقلّ شيوعًا ليس أقلّ عُرضة للتهديدات.
احرص على تحديث جميع البرمجيات والتطبيقات المستخدمة في الشركة بانتظام، لا سيما عند إصدار الشركات المنتجة لها تصحيحات أمنية. وقد تساعد الحلول الأمنية المزودة بقدرات تقييم للثغرات الأمنية وإدارة التصحيحات على أتمتة هذه العمليات.
اختر حلًا أمنيًا موثوقًا به، مثل Kaspersky Endpoint Security، المزوَّد بقدرات الكشف القائم على السلوك، لتقديم حماية فعالة من التهديدات المعروفة والمجهولة، بما فيها عمليات الاستغلال.
بالإضافة إلى اعتماد نظام حماية أساسي للنقاط الطرفية، ينبغي تطبيق حل أمني على المستوى المؤسسي قادر على الكشف عن التهديدات الشبكية المتقدمة في مرحلة مبكرة، مثل منصة Kaspersky Anti Targeted Attack Platform.
احرص على تزويد موظفيك بالتدريب الأساسي حول الأمن الرقمي، إذ إن العديد من الهجمات الموجهة تبدأ بمحاولات تصيد أو باستغلال مبادئ الهندسة الاجتماعية الأخرى.
احرص على حصول فريقك الأمني على أحدث المعلومات الخاصة بالتهديدات الرقمية. وتتاح لعملاء خدمة Kaspersky APT Intelligence Reporting الحصول على تقارير خاصة عن أحدث التطورات في مجال التهديدات.
اهتمّ بتطوير مهارات فريق مركز العمليات الأمنية وتأهيله للتعامل مع أحدث التهديدات الموجهة عبر تزويدهم بالتدريب على الهندسة العكسية عبر الإنترنت، من خلال البرنامج التدريبي المتخصص الذي وضعه خبراء فريق البحث والتحليل العالمي لدى كاسبرسكي.