المصدر -
كُشف النقاب في فبراير من هذا العام عن قيام الجهة التخريبية SixLittleMonkeys، المعنية بالتهديدات المتقدمة المستمرة والمعروفة أيضًا بالاسم Microcin، بتنزيل أحد التروجانات الخطرة في ذاكرة النظام الرقمي المستهدف. واكتشف باحثون في كاسبرسكي أن المرحلة الأخيرة من الهجوم الذي تشنّه هذه الجهة التخريبية والمتمثلة بتنزيل حمولتها الخبيثة وبدء تنفيذ الأوامر على جهاز الضحية، كانت تستخدم نمطًا جديدًا في التشفير باستخدام بُنية شبيهة بواجهة برمجة التطبيقات من أجل تبسيط إجراء التحديثات على برمجياتها الخبيثة.
وكان باحثو كاسبرسكي وجدوا مجموعة SixLittleMonkeys تستهدف منذ عدة سنوات هيئات حكومية ودبلوماسية بحملات تجسس إلكتروني تُشنّ عبر منفذ خلفي. كذلك، تمكّنت المجموعة من إخفاء نشاطها التخريبي باستخدام طريقة إخفاء المعلومات، وهي عملية يتم من خلالها إرسال المعلومات بتنسيق مخفي ضمن ملفات وبطريقة لا يمكن معها معرفة أنه جرى تنزيلها أو تحديثها، الأمر الذي يصعّب على منتجات مكافحة الفيروسات اكتشاف الحمولات الخبيثة.
ووجد الباحثون أن SixLittleMonkeys كانت تستخدم بقدر كبير مجموعة الأدوات ومكتبة البحث نفسها وأسلوب إخفاء المعلومات نفسه عندما عُثر عليها تنشط في عمليات ضد إحدى الهيئات الدبلوماسية خلال فبراير الماضي. ولكنها، مع ذلك، استطاعت أن تخطو خطوة مهمة تمثلت في تطبيق تقنيات تشفير ذات أسلوب مؤسسي في المرحلة الأخيرة من الهجوم.
وتتيح واجهات برمجة التطبيقات للمطورين إنشاء تطبيقات بطريقة أسرع وأسهل من خلال إنشاء لبِنات بناء للبرمجيات المستقبلية، بحيث لا يلزم تطوير الشيفرة البرمجية من البداية. في حالة البرمجيات الخبيثة، تضيف واجهات برمجة التطبيقات مستوىً إضافيًا من الكفاءة يمكن معه تسريع إجراء التحديثات أو التغييرات المطلوبة.
وتستفيد الوظيفة الشبيهة بواجهة برمجة التطبيقات التي تستخدمها SixLittleMonkeys من معاملَيْن أو وظيفتين تُستدعيان لاحقًا؛ مؤشرات إلى أداة التشفير ووظائف التسجيل. أما الوظيفة الأولى فمسؤولة عن التشفير أو فك التشفير لاتصالات C2 (خادم التحكّم) وبيانات التهيئة الخاصة به، في حين أن الثانية تحفظ سجلّ عمليات البرمجيات الخبيثة في الملف. ويسهِّل هذا النهج على واضعي البرمجيات الخبيثة تغيير خوارزمية التشفير أو إعادة توجيه المسجِّل عبر قناة اتصال مختلفة.
واشتمل جانب آخر من نشاط SixLittleMonkeys في استخدام العمل غير المتزامن مع المقابس، التي تتمثل في هذه الحالة بكيانات الاتصالات الشبكية مع خادم التحكّم. هذا، ولا تؤدي إحدى العمليات إلى إعاقة الأخرى نظرًا لأنها غير متزامنة، ما يعني تنفيذ جميع الأوامر.
وأوضح دينيس ليغيزو الباحث الأمني الأول في كاسبرسكي، إنه نادرًا ما يُعثَر في البرمجيات الخبيثة على هذا التوظيف لأسلوب البرمجة الشبيه بواجهة برمجة التطبيقات على مستوى المؤسسات، حتى لدى الجهات التخريبية التي تشنّ حملات موجهة، وقال: "يظهر اتباع هذا الأسلوب خبرة واسعة في تطوير البرمجيات ويدلّ على التطوّر الكبير الحاصل من جانب الجهة التخريبية، التي سوف تتمكّن من تحديث برمجياتها لاحقًا بفضل وظائف الاستدعاء اللاحق".
يمكن الاطلاع على المزيد عن أحدث أنشطة SixLittleMonkeys على Securelist.
ويوصي خبراء كاسبرسكي المؤسسات باتباع التدابير التالية للبقاء في مأمن من هجمات الجهات التخريبية القائمة على التهديدات المتقدمة المستمرة، مثل SixLittleMonkeys:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، والبقاء على اطلاع على أحدث الأدوات والتقنيات والأساليب الجديدة والناشئة التي تستخدمها الجهات التخريبية ومجرمو الإنترنت.
• تنفيذ حلول EDR مثل Kaspersky Endpoint Detection and Response، للكشف عن التهديدات مستوى النقاط الطرفية، والتحقيق فيها ومعالجتها في الوقت المناسب.
• تنفيذ حل أمني مؤسسي يكتشف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• تزويد الموظفين بالتدريب الأساسي على الأمن الرقمي والسلامة الرقمية العامة، إذ إن العديد من الهجمات الموجّهة تبدأ بأساليب التصيّد أو تقنيات الهندسة الاجتماعية الأخرى المستخدمة في خداع المستخدمين. ويمكن تنفيذ هجوم تصيد وهمي للتأكّد من قدرة الموظفين على التمييز بين رسائل التصيّد والرسائل السليمة.
وكان باحثو كاسبرسكي وجدوا مجموعة SixLittleMonkeys تستهدف منذ عدة سنوات هيئات حكومية ودبلوماسية بحملات تجسس إلكتروني تُشنّ عبر منفذ خلفي. كذلك، تمكّنت المجموعة من إخفاء نشاطها التخريبي باستخدام طريقة إخفاء المعلومات، وهي عملية يتم من خلالها إرسال المعلومات بتنسيق مخفي ضمن ملفات وبطريقة لا يمكن معها معرفة أنه جرى تنزيلها أو تحديثها، الأمر الذي يصعّب على منتجات مكافحة الفيروسات اكتشاف الحمولات الخبيثة.
ووجد الباحثون أن SixLittleMonkeys كانت تستخدم بقدر كبير مجموعة الأدوات ومكتبة البحث نفسها وأسلوب إخفاء المعلومات نفسه عندما عُثر عليها تنشط في عمليات ضد إحدى الهيئات الدبلوماسية خلال فبراير الماضي. ولكنها، مع ذلك، استطاعت أن تخطو خطوة مهمة تمثلت في تطبيق تقنيات تشفير ذات أسلوب مؤسسي في المرحلة الأخيرة من الهجوم.
وتتيح واجهات برمجة التطبيقات للمطورين إنشاء تطبيقات بطريقة أسرع وأسهل من خلال إنشاء لبِنات بناء للبرمجيات المستقبلية، بحيث لا يلزم تطوير الشيفرة البرمجية من البداية. في حالة البرمجيات الخبيثة، تضيف واجهات برمجة التطبيقات مستوىً إضافيًا من الكفاءة يمكن معه تسريع إجراء التحديثات أو التغييرات المطلوبة.
وتستفيد الوظيفة الشبيهة بواجهة برمجة التطبيقات التي تستخدمها SixLittleMonkeys من معاملَيْن أو وظيفتين تُستدعيان لاحقًا؛ مؤشرات إلى أداة التشفير ووظائف التسجيل. أما الوظيفة الأولى فمسؤولة عن التشفير أو فك التشفير لاتصالات C2 (خادم التحكّم) وبيانات التهيئة الخاصة به، في حين أن الثانية تحفظ سجلّ عمليات البرمجيات الخبيثة في الملف. ويسهِّل هذا النهج على واضعي البرمجيات الخبيثة تغيير خوارزمية التشفير أو إعادة توجيه المسجِّل عبر قناة اتصال مختلفة.
واشتمل جانب آخر من نشاط SixLittleMonkeys في استخدام العمل غير المتزامن مع المقابس، التي تتمثل في هذه الحالة بكيانات الاتصالات الشبكية مع خادم التحكّم. هذا، ولا تؤدي إحدى العمليات إلى إعاقة الأخرى نظرًا لأنها غير متزامنة، ما يعني تنفيذ جميع الأوامر.
وأوضح دينيس ليغيزو الباحث الأمني الأول في كاسبرسكي، إنه نادرًا ما يُعثَر في البرمجيات الخبيثة على هذا التوظيف لأسلوب البرمجة الشبيه بواجهة برمجة التطبيقات على مستوى المؤسسات، حتى لدى الجهات التخريبية التي تشنّ حملات موجهة، وقال: "يظهر اتباع هذا الأسلوب خبرة واسعة في تطوير البرمجيات ويدلّ على التطوّر الكبير الحاصل من جانب الجهة التخريبية، التي سوف تتمكّن من تحديث برمجياتها لاحقًا بفضل وظائف الاستدعاء اللاحق".
يمكن الاطلاع على المزيد عن أحدث أنشطة SixLittleMonkeys على Securelist.
ويوصي خبراء كاسبرسكي المؤسسات باتباع التدابير التالية للبقاء في مأمن من هجمات الجهات التخريبية القائمة على التهديدات المتقدمة المستمرة، مثل SixLittleMonkeys:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، والبقاء على اطلاع على أحدث الأدوات والتقنيات والأساليب الجديدة والناشئة التي تستخدمها الجهات التخريبية ومجرمو الإنترنت.
• تنفيذ حلول EDR مثل Kaspersky Endpoint Detection and Response، للكشف عن التهديدات مستوى النقاط الطرفية، والتحقيق فيها ومعالجتها في الوقت المناسب.
• تنفيذ حل أمني مؤسسي يكتشف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• تزويد الموظفين بالتدريب الأساسي على الأمن الرقمي والسلامة الرقمية العامة، إذ إن العديد من الهجمات الموجّهة تبدأ بأساليب التصيّد أو تقنيات الهندسة الاجتماعية الأخرى المستخدمة في خداع المستخدمين. ويمكن تنفيذ هجوم تصيد وهمي للتأكّد من قدرة الموظفين على التمييز بين رسائل التصيّد والرسائل السليمة.