تهديدات Careto تعود إلى الظهور وتستخدم أطر عمل خبيثة جديدة

اكتشف باحثو كاسبرسكي حملتين خبيثتين جديدتين تديرهما المجموعة المسؤولة عن تهديدات Careto المتقدمة المستمرة سيئة السمعة، وذلك في أول نشاط لها منذ عام 2013. ومن خلال إظهار مستوى عالٍ بشكل ملحوظ من التطور، شن المخترقون حملتين معقدتين للتجسس السيبراني باستخدام إطار عمل متعدد الوسائط. إذ يتيح هذا الإطار تسجيل مدخلات الميكروفون، وسرقة مجموعة واسعة من الملفات والبيانات، والتحكم الشامل في الجهاز المصاب. واستهدفت الحملات منظمات في أمريكا اللاتينية ووسط أفريقيا.
تُعرف Careto، وهي مجموعة تستخدم التهديدات المتقدمة المستمرة، بهجماتها المتطورة التي تستهدف في المقام الأول المنظمات الحكومية، والهيئات الدبلوماسية، وشركات الطاقة، والمؤسسات البحثية. حيث تمت ملاحظة نشاط مصدر التهديدات المتقدمة المستمرة هذا منذ عام 2007، واستمر حتى عام 2013. والجدير بالذكر أن أخبار هذه المجموعة قد انقطعت تماماً منذ ذلك الوقت. ويكشف باحثو كاسبرسكي، في تقريرهم الربع سنوي حول اتجاهات التهديدات المتقدمة المستمرة، عن التفاصيل الكامنة وراء الحملات الخبيثة الأخيرة، والتي ينسبونها إلى مجموعة Careto.

كان الناقل الأولّي للعدوى، الذي استخدمه المهاجمون لاختراق المؤسسة، هو الخادم المسؤول عن تشغيل برمجية البريد الإلكتروني، MDaemon. حيث أصيب هذا الخادم بثغرة باب خلفي مستقل، مما منح المهاجم سيطرة كاملة على الشبكة. وللانتشار داخل الشبكة الداخلية، استغل مصدر التهديد خطأً لم يتم رصده مسبقاً في أحد الحلول الأمنية، مما أتاح التوزيع السري للبرمجيات الخبيثة عبر أجهزة متعددة. كما قام المهاجمون بنشر أربع برمجيات مخفية متطورة ومتعددة الوحدات مصممة بخبرة احترافية للتأثير الحجمي.

وباعتبارها إطاراً متعدد الوسائط، تتضمن البرمجية الخبيثة وظائف مثل تسجيل الميكروفون وسرقة الملفات، بهدف الحصول على تكوينات النظام، وبيانات تسجيل الدخول، وكلمات المرور، والمسارات إلى المجلدات المخزنة محلياً على الجهاز، والمزيد. ولوحظ أن المشغلين مهتمون بشكل خاص بالمستندات السرية للمؤسسة، وملفات تعريف الارتباط، وسجل النماذج، وبيانات تسجيل الدخول لمتصفحات Edge، وChrome، وFirefox، وOpera، بالإضافة إلى ملفات تعريف الارتباط من Threema، وتطبيقي المراسلة WeChat وWhatsApp.

وفقاً لما رصدته كاسبرسكي، فإن الضحايا الذين استهدفتهم برمجيات Careto المزروعة والمكتشفة حديثاً هم منظمة في أمريكا اللاتينية، تم اختراقها سابقاً بواسطة Careto في 2022 و2019 ومنذ أكثر من 10 سنوات، بجانب منظمة أخرى في وسط أفريقيا.

علّق جورجي كوشيرين، الباحث الأمني في فريق البحث والتحليل العالمي في كاسبرسكي، قائلاً: «تمكنت تهديدات مجموعة Careto المتقدمة المستمرة من تطوير برمجيات خبيثة تظهر مستوى عالٍ من التعقيد بشكل ملحوظ، على مر السنين. وتعد الغرسات المكتشفة حديثاً عبارة عن أطر معقدة متعددة الوسائط، مع تكتيكات وأساليب نشر فريدة ومتطورة. ويشير وجودها إلى الطبيعة المتقدمة لعمليات Careto. سنواصل مراقبة أنشطة مصدر التهديد هذا عن كثب، حيث نتوقع أن يتم استخدام البرمجيات الخبيثة المكتشفة ضمن هجمات Careto المستقبلية.»
يكتشف الباحثون في كاسبرسكي باستمرار أدوات، وأساليب، وحملات جديدة تطلقها مجموعات التهديدات المتقدمة المستمرة (APT) في الهجمات السيبرانية حول العالم. ويراقب خبراء الشركة أكثر من 900 عملية ومجموعة، مع كون 90% منها مرتبطة بالتجسس. وتم توصيف حملة Careto في أحدث تقرير لاتجاهات التهديدات المتقدمة المستمرة للربع الأول من كاسبرسكي.
كذلك، سيتم الكشف عن مزيد من التفاصيل حول عودة Careto في مؤتمر Virus Bulletin القادم.
لحماية نفسك من الوقوع ضحية هجوم موجّه، سواء من مصدر تهديد معروف أو لا، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
زوِّد فريق مركز العمليات الأمنية (SOC) بالوصول إلى أحدث معلومات التهديدات (TI). تُعد Kaspersky Threat Intelligence Portal نقطة وصول فردية لمعلومات التهديدات الخاصة بالشركة، حيث توفر بيانات ورؤى الهجمات السيبرانية التي جمعتها كاسبرسكي على مدار أكثر من 20 عاماً.
درّب فريق الحماية السيبرانية الخاص بك لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من كاسبرسكي والتي طورها خبراء GReAT.
طبق حلول الاكتشاف والاستجابة للنقاط الفرعية مثل Kaspersky Next للكشف عن الحوادث، والتحقيق فيها، ومعالجتها في الوقت المناسب على مستوى النقاط الطرفية.
بالإضافة إلى اعتماد الحماية الأساسية للنقطة الطرفية، يمكنك تطبيق حل أمني على مستوى الشركة يكتشف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.