خبراء الأمن السيبراني يكشفون عن هجمات برمجيات خبيثة تستهدف الحكومة والشركات الكولومبية

كشف باحثو الأمن السيبراني عن حملة مراقبة مستمرة تستهدف مؤسسات حكومية كولومبية وشركات خاصة في قطاعي الطاقة والمعادن

أفادت شركة Slovak Internet Security “إيسيت”، في تقرير نشرته يوم الثلاثاء، باكتشاف حملة هجمات إلكترونية مستمرة تعرف باسم “عملية سبالاكس” بدأت منذ عام 2020.

وأشار التقرير إلى أن أساليب العمل المستخدمة في هذه الحملة تشترك في بعض السمات مع مجموعة استهدفت كولومبيا منذ أبريل 2018، إلا أن هناك اختلافات واضحة تميز هذه العملية الجديدة.

وتتمثل طبيعة الهجمات في رسائل بريد إلكتروني تصيدية تحمل مواضيع مشابهة، وتُظهِر نفسها على أنها صادرة من جهات تم استخدامها سابقًا في حملة أخرى تم الكشف عنها في فبراير 2019 من قبل باحثي Qianxin، كما تم استخدام أسماء نطاقات فرعية لخوادم القيادة والسيطرة (C2) تشبه تلك التي ظهرت في الهجمات السابقة.

رغم التشابه بين الحملتين، إلا أنهما تختلفان في المرفقات المستخدمة في رسائل البريد الإلكتروني الخادعة، وأنواع أحصنة طروادة (البرامج الضارة للتحكم عن بُعد)، والبنية التحتية لخوادم القيادة والسيطرة (C2) التي تُستخدم لنشر البرمجيات الخبيثة.

تبدأ سلسلة الهجوم بإرسال رسائل تصيدية تستهدف الضحايا، تحثهم على تنزيل ملفات ضارة محفوظة بصيغة RAR ومستضافة على منصات مثل OneDrive وMediaFire، تحتوي على برامج ضارة مثل Remcos، وNugrat، وAsyncrat، التي تُثبت على أجهزة الكمبيوتر المخترقة للتحكم عن بُعد.

تغطي رسائل البريد الإلكتروني الخادعة مجموعة واسعة من المواضيع، تشمل الإشعارات المتعلقة بالمخالفات المرورية، حضور جلسات استماع قانونية، والاختبارات الإلزامية لكوفيد-19، مما يزيد من احتمالية فتح المستخدمين لهذه الرسائل بثقة.

وفي سيناريو آخر رصده فريق ESET، استخدم المهاجمون برمجيات تلقائية متقدمة تعتمد على أوامر Shell لفك تشفير الحمولة الضارة وحقنها في عمليات نظام قيد التشغيل، ما يعزز قدرة الهجوم على التسلل دون كشف.

وليس الفيروس البرمجي المعروف بأحصنة طروادة (الـ “فئران”) مجرد أدوات تحكم عن بعد، بل تمتلك أيضًا قدرات تجسسية تشمل تسجيل ضغطات المفاتيح، التقاط لقطات شاشة، سرقة محتويات الحافظة، الاستيلاء على مستندات حساسة، بالإضافة إلى تنزيل وتشغيل برمجيات خبيثة إضافية لتعزيز سيطرة المهاجمين على الأجهزة المستهدفة.

كشف تحليل شركة ESET عن بنية تحكم وسيطرة (C2) قابلة للتوسع، تُدار عبر خدمة DNS ديناميكية، سمحت للمهاجمين بتعيين أسماء نطاقات متعددة بشكل ديناميكي لعناوين IP مختلفة.

وشهد النصف الثاني من عام 2020 وحده استخدام ما يقارب 70 اسم نطاق و24 عنوان IP ضمن هذه البنية التحتية، ما يعكس تطوراً ملحوظاً في حجم وتعقيد الهجمات.

وخلص الباحثون إلى أن “هجمات البرمجيات الخبيثة الموجهة ضد المؤسسات الكولومبية شهدت توسعاً كبيراً مقارنة بالحملات التي تم رصدها في العام السابق. إذ انتقل المشهد من حملة تعتمد على عدد محدود من خوادم C2 وأسماء النطاقات إلى حملة ضخمة وسريعة التغير، تستخدم مئات أسماء النطاقات منذ عام 2019.”

هذه التطورات تؤكد أن التهديدات السيبرانية تتصاعد بسرعة، مما يستدعي تعزيز جاهزية المؤسسات وحماية بنيتها التحتية الرقمية عبر تقنيات متطورة وإجراءات أمنية صارمة لمواجهة هذه الهجمات المتطورة والمستمرة.