CommonMagic للتهديدات المتقدمة المستمرة توسّع نطاقها بأوكرانيا

محمد عبدالمجيدمايو 24, 2023

8٬865 3 دقائق

قدم باحثو كاسبرسكي مزيداً من التفاصيل حول حملة CommonMagic، وكشفوا عن أنشطة خبيثة أكثر تعقيداً من جهة التهديدات الفاعلة ذاتها. وجاء في التحقيق أن إطار العمل الذي تم اكتشافه حديثاً قد وسّع نطاق ضحاياه، ليشمل مؤسسات في وسط وغرب أوكرانيا، إضافة إلى الشركات في منطقة النزاع الروسية الأوكرانية.

وربط خبراء كاسبرسكي أيضاً تلك الجهة المجهولة باحتمال تورطها بحملات التهديدات المتقدمة المستمرة السابقة، ومن أبرزها Operation BugDrop و Operation Groundbait (Prikormka).

ونوهّت كاسبرسكي في مارس 2023 إلى وجود حملة جديدة من التهديدات المتقدمة المستمرة في منطقة الصراع الروسي الأوكراني. وتستخدم نفس الحملة التي تحمل اسم CommonMagic، نوعين من برمجيات مثبتة وهما PowerMagic و CommonMagic حتى تتمكن من ممارسة أنشطة التجسس. وتنشط الحملة منذ سبتمبر 2021، وتستخدم برنامجاً خبيثاً لم يتم التعرف عليه مسبقاً، بهدف جمع البيانات من الكيانات المستهدفة. ومع أن جهة التهديدات المسؤولة عن هذا الهجوم بقيت مجهولة في ذلك الوقت، واصل خبراء كاسبرسكي تحقيقاتهم، وركزوا على تعقب النشاط غير المعروف بما في ذلك تغطية الحملات المنسيّة، لمساعدتهم في جمع المزيد من الأفكار حول الحملة.

واستخدمت الحملة التي تم الكشف عنها مؤخراً إطار عمل معيارياً يسمى CloudWizard. ونجحت كاسبرسكي من خلال بحثها في تحديد مجموعه مكونة من 9 وحدات في هذا الإطار، وكان كل واحد منها مسؤولاً عن أنشطة خبيثة مختلفة، مثل جمع الملفات، وتسجيل لوحة المفاتيح، والتقاط صور للشاشة، وتسجيل إدخال الميكروفون، وسرقة كلمات المرور.

وتجدر الإشارة في هذا الصدد إلى أن إحدى الوحدات تركز على استخراج البيانات من حسابات البريد الإلكتروني Gmail. ومن خلال استخراج ملفات تعريف ارتباط البريد الإلكتروني من قواعد بيانات المتصفح، يمكن لهذه الوحدة الوصول إلى سجلات النشاط، وقوائم جهات الاتصال، وجميع رسائل البريد الإلكتروني المرتبطة بالحسابات المستهدفة وتسريبها.

وكشف الباحثون أيضاً عن انتشار جغرافي واسع لضحايا الحملة. ومع أن الأهداف السابقة كانت تتركز بشكل أساسي في مناطق دونيتسك ولوهانسك وشبه جزيرة القرم، لوحظ قيامها بتوسعة نطاقها الآن، ليشمل الأفراد والكيانات الدبلوماسية والمنظمات البحثية في غرب ووسط أوكرانيا.

وبعد قيامهم بإجراء بحث مكثف حول CloudWizard، تمكن خبراء كاسبرسكي من تحقيق تقدم كبير في تحديد جهة تهديد معروفة قد تكون مسؤولة عن الحملة. ولاحظ الباحثون أوجه تشابه ملحوظة بين CloudWizard وحملتين موثقتين مسبقاً، وهما عملية Groundbait وعملية BugDrop. وتشمل أوجه التشابه الكود، وأنماط تسمية الملفات والقوائم، والاستضافة من قبل خدمات الاستضافة الأوكرانية، وملفات تعريف الضحايا المشتركة في غرب ووسط أوكرانيا، إضافة إلى منطقة الصراع في أوروبا الشرقية.

وتكشف CloudWizard أيضاً عن أوجه تشابه مع حملة CommonMagic التي تم الإبلاغ عنها مؤخراً، كما تكون بعض أقسام الكود متطابقة، إلى جانب استخدامها نفس مكتبة التشفير، وتتبع نسقاً مشابهاً لتسمية الملفات، وتشارك مواقع الضحايا داخل منطقة النزاع في أوروبا الشرقية.

وبناءً على هذه النتائج، قام خبراء كاسبرسكي بالتوصل إلى أن الحملات الخبيثة لـ Prikormka و Operation Groundbait و Operation BugDrop و CommonMagic و CloudWizard، قد تُنسب جميعها إلى جهة التهديد النشطة ذاتها.

وقال جورجي كوتشرين، الباحث الأمني في الفريق العالمي للبحث والتحليل في كاسبرسكي: “لقد أظهرت الجهة القائمة على التهديدات والمسؤول عن هذه العمليات التزاماً مستمراً بالتجسس الإلكتروني، كما أنها تعمد إلى تعزيز مجموعة أدواتها بصورة متواصلة، وتستهدف المؤسسات المهمة جداً لأكثر من خمسة عشر عاماً. ولا تزال العوامل الجيوسياسية حافزاً مهماً لهجمات التهديدات المتقدمة المستمرة. ونظراً للتوتر في منطقة الصراع الروسي الأوكراني، نتوقع مواصلة جهة التهديدات عملياتها في المستقبل”.

ويمكن قراءة التقرير الكامل حول حملة CloudWizard على قائمة Securelist.

ولتفادي التعرض للهجمات المستهدفة من قبل جهة تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع الإجراءات التالية:

• تزويد فريق مركز العمليات الأمنية في شركتك بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعد وحدة ذكاء التهديدات من كاسبرسكي Kaspersky Threat Intelligence نقطة وصول واحدة لمعلومات التهديدات لشركتك، حيث يتم تزويدها بالبيانات المتعلقة بالهجمات الإلكترونية والأفكار العميقة التي جمعتها كاسبرسكي على مدار 20 عاماً
• قم بتطوير مهارات فريق الأمن السيبراني في شركتك، وتأهيلهم للتعامل مع أحدث التهديدات المستهدفة من خلال التدريب الذي توفره كاسبرسكي عبر الإنترنت Kaspersky online training وتم تطويره من قبل خبرائها في الفريق العالمي للبحث والتحليل GReAT
• لاكتشاف مستوى نقطة النهاية والتحقيق في الحوادث ومعالجتها في الوقت المناسب، ينصح بتنفيذ حلول اكتشاف نقطة النهاية والاستجابة،مثل Kaspersky Endpoint Detection and Response
• إضافة إلى ضرورة اعتماد حماية نقطة النهاية الأساسية، ينصح بتطبيق حل أمان على مستوى الشركة لاكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform
• بما أن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى، ينصح بتوفير تدريب على الوعي الأمني وعلم المهارات العملية لفريقك، ومنها على سبيل المثال “منصة كاسبرسكي للوعي الأمني المؤتمت” Kaspersky Automated Security Awareness Platform.