حدد خبراؤنا مجموعة من مجرمي الإنترنت متخصصة في سرقة الأسرار التجارية. وإذا حكمنا على الأمر من خلال أهداف هذه المجموعة حتى الآن، فسنجد أنها مهتمة بشكل أساسي بمهاجمة شركات التقنيات المالية، وشركات المحاماة، والمستشارين الماليين، على الرغم من أنها هاجمت كيانًا دبلوماسيًا في حالة واحدة على الأقل.

قد يشير هذا الاختيار للأهداف إلى أن هذه المجموعة، التي تحمل الاسم الرمزي DeathStalker، إما أنها تبحث عن معلومات معينة لبيعها أو تقدم خدمة “الهجمات عند الطلب”. أو بعبارة أخرى، مجموعة مرتزقة.

تمارس مجموعة DeathStalker نشاطها منذ عام 2018 أو قبل ذلك، وربما منذ عام 2012. وكان استخدامها لطعم Powersing هو أول ما لفت انتباه خبرائنا. كما أن العمليات الأحدث تستخدم مجموعة من الطرق المماثلة أيضًا.

 الهجوم

أولاً ، يخترق المجرمون شبكة الضحية باستخدام التصيد الموجّه، ثم يرسلون ملف LNK ضارًا متخفيًا في شكل مستند إلى أحد الموظفين في المؤسسة. ويكون هذا الملف اختصارًا يؤدي إلى تشغيل مترجم سطر أوامر النظام، cmd.exe، ويستخدمه لتنفيذ برنامج نصي ضار. ويُعرض مستند لا معنى له أمام الضحية بتنسيق PDF أو DOC أو DOCX، مما يوهمه بأنه فتح ملفًا عاديًا.

ومن المثير للاهتمام أن الشفرة الخبيثة لا تحتوي على عنوان خادم السيطرة والتحكم (C&C). بل يصل البرنامج إلى منشور موجود على إحدى المنصات العامة، يقرأ فيه سلسلة من الأحرف التي تبدو للوهلة الأولى بلا معنى. بينما هي في الواقع معلومات مشفرة ومصممة لتنشيط المرحلة التالية من الهجوم. يُعرف هذا النوع من التكتيك بمحلل نقطة الالتقاء (dead drop resolver).

ثم يسيطر المهاجمون على الكمبيوتر خلال المرحلة التالية، ويضعون اختصارًا ضارًا في مجلد التشغيل التلقائي (بحيث يستمر في العمل على النظام)، وينشئون اتصالاً بخادم السيطرة والتحكم الحقيقي (ولكن بعد فك تشفير عنوانه من الشكل الذي يبدو كسلسلة أخرى بلا معنى منشورة على موقع ويب شرعي).

يؤدي طُعم Powersing مهمتين بشكل أساسي: يأخذ بشكل دوري لقطات شاشة على جهاز الضحية ويرسلها إلى خادم القيادة والتحكم، كما ينفذ نصوص Powershell النصية الإضافية التي يتم تنزيلها من خادم السيطرة والتحكم. أو بمعنى آخر، يهدف إلى الحصول على موطئ قدم على جهاز الضحية من أجل إطلاق أدوات إضافية.

 طرق خداع الآليات الأمنية

يستخدم هذا البرنامج الضار في جميع المراحل طرقًا مختلفة لتجاوز التقنيات الأمنية، ويعتمد اختيار أسلوبه على الهدف. كما أن هذا البرنامج الضار إذا وجد أحد حلول مكافحة الفيروسات على الكمبيوتر المستهدف، فإنه يمكنه تغيير التكتيكات أو حتى تعطيل نفسه. يعتقد خبراؤنا أن مجرمي الإنترنت يدرسون الهدف ويضبطون نصوصهم حسب كل هجوم.

لكن أسلوب DeathStalker الأكثر فضولاً هو استخدام الخدمات العامة كآلية محلل نقطة الالتقاء. حيث تسمح هذه الخدمات في جوهرها بتخزين المعلومات المشفرة في عنوان ثابت في شكل منشورات وتعليقات وملفات تعريف للمستخدمين وأوصاف محتوى يمكن وصول العامة إليها. ويمكن أن تبدو هذه المنشورات كما يلي:

إنها مجرد خدعة بشكل عام: هذه هي الطريقة التي يحاول المهاجمون إخفاء بداية الاتصال بها مع خادم السيطرة والتحكم، وهو ما يجعل آليات الحماية تعتقد أن أحد الأشخاص يقوم بالوصول إلى مواقع الويب العامة. وقد حدد خبراؤنا الحالات التي استخدم فيها المهاجمون مواقع Google+، وImgur، وReddit، وShockChan، وTumblr، وTwitter، وYouTube، وWordPress لهذا الغرض. وهذا القائمة المذكورة ليست شاملة. ومع ذلك، فمن غير المرجح أن تمنع الشركات الوصول إلى كل هذه الخدمات.

ستجد المزيد من المعلومات حول أحد الروابط المحتملة بين مجموعة DeathStalker والبرنامجين الضارين Janicab وEvilnum، بالإضافة إلى وصف تقني كامل للصلاحيات، بما في ذلك مؤشرات التسوية، في منشور Securelist الأخير حول DeathStalker.

كيف تحمي شركتك من DeathStalker

يوفر وصف أساليب المجموعة وأدواتها توضيحًا جيدًا للتهديدات التي يمكن أن تواجهها حتى الشركات الصغيرة نسبيًا في العالم الحديث. بالطبع، تكاد هذه المجموعة تُعد أحد ممثلي التهديدات المستمرة المتطورة، ولا تستخدم أي حيل معقدة بشكل خاص. ومع ذلك، فإن أدواتها مصممة لتجاوز العديد من الحلول الأمنية. ويوصي خبراؤنا بالتدابير الوقائية التالية:

• انتبه بشكل خاص للعمليات التي يتم إطلاقها بواسطة أدوات تفسير اللغات النصية، بما في ذلك على وجه الخصوص exe وcscript.exe. إذا لم تكن تحتاج إليها على نحو موضوعي لأداء مهام العمل، فعليك تعطيلها.
• احترس من الهجمات التي تؤديها ملفات LNK المنتشرة عبر رسائل البريد الإلكتروني.
• استخدم تقنيات الحماية المتقدمة، بما في ذلك حلول فئة EDR.

على وجه الخصوص، لدينا حل متكامل في ترسانتنا يمكنه تولي وظائف كل من منصة حماية نقطة النهاية (EPP) وكشف واستجابة نقطة النهاية (EDR). يمكنك معرفة المزيد عنها [[integrated placeholderهنا [/integrated placeholder].