إصدارات محدثة من البرمجية الخبيثة مكتوبة بلغات برمجية مختلفة
تستخدم إحدى جماعات التهديدات المتقدمة المستمرة التي تنشط في منطقة الشرق الأوسط «وايلد برجر» التروجان «ميليم» منذ أغسطس 2919، واكتشف باحثو «كاسبرسكي» أثناء التحقيق في أحد أحدث الهجمات التي نفذتها العصابة واستهدفت ما يبدو أنها جهة صناعية، وجود إصدارات أحدث من البرمجية الخبيثة مكتوبة بلغات برمجية مختلفة، بينها إصدار قادر على إصابة النظامين «ويندوز» و«ماك آي أو إس» والعمل عليهما.
لغة البرمجة
وكثيرًا ما تتكشف أمور مهمة عند البحث في التفاصيل الدقيقة لبعض الدلالات الكامنة في التهديدات الرقمية، وهو ما حدث في هذه الحملة التخريبية، وبمجرد أن ينجح التروجان في إصابة جهاز ما، فإنه عادة ما يُرسل إلى الخوادم التابعة للمهاجمين شفرة تحتوي على معلومات حول الجهاز وإعدادات الشبكة واسم المستخدم ومعلومات أخرى متصلة، ما يساعد المهاجمين في تحديد ما إذا كانت تُرجى من الجهاز المصاب أي منفعة أو مصلحة.
إلا أنه في هذه الحملة أرسل التروجان «ميليم» معلومات إضافية حول لغة البرمجة التي كُتب بها.
وكان باحثو «كاسبرسكي» قد اشتبهوا عند التحقيق لأول مرة في الحملة عام 2020، في أن هذا الأمر يشير إلى وجود إصدارات مختلفة من هذا التروجان بلغات مختلفة، وهو ما تأكّد توًّا للباحثين.
ترقية للأحدث
وكانت «كاسبرسكي» قد رصدت في ربيع هذا العام هجومًا شنته «وايلد بريجر» بمجموعة من أحدث إصدارات التروجان «ميليم».
وتحتوي الملفات المكتشفة على تروجان بإصدار مكتوب بلغة C++ وإصدار مماثل مكتوب بلغة (VBScript).
كذلك كشفت تحقيقات إضافية في هذا الهجوم عن إصدار آخر من البرمجية الخبيثة مكتوب بلغة Python، التي طُوّرت خصيصًا لنظامي التشغيل «ويندوز» و«ماك أو إس»، وكانت جميع الإصدارات الثلاثة من التروجان قادرة على تنزيل الأوامر من المشغل وتنفيذها، وجمع المعلومات، وترقية نفسها إلى إصدارات أحدث.
خبث نادر
ويندر وجود برمجية خبيثة متعددة الأنظمة قادرة على إصابة أجهزة عاملة على النظام «ماك أو إس»، وكانت العينة التي خضعت للتحرّي قد نُقلت إلى الجهاز المصاب ضمن باقة اشتملت على البرمجية الخبيثة ومكتبة Python ونصٍّ باسم Guard، الأمر الذي أدى إلى تمكين البرمجية من العمل على كلٍ من «ويندوز» و«ماك أو إس»، مع بذل جهد إضافي قليل في هذا الجانب.
وتشغِّل البرمجية الخبيثة بمجرد إصابة الجهاز رمزًا يختلف باختلاف نظام التشغيل، لضمان استمرارها وجمعها للبيانات.
وتُجمع البيانات في ويندوز في ملف قابل للتنفيذ باستخدام PyInstaller، كما أن التروجان Python قادر من جانبه على التحقق مما إذا كانت الحلول الأمنية قيد التشغيل على الجهاز.
إصدارات متعددة
ويحتفظ مشغلو «وايلد بريجر» بمصالحهم في المنطقة الجغرافية التي ينشطون بها، وفق ما أوضح الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، دنيس ليجيزو، والذي قال إن واضعي التروجان طوروا إصدارات متعددة من تروجانات مماثلة، ولديهم نظامهم الخاص لبناء الإصدارات، مرجحًا أن السبب وراء تطوير إصدارات مماثلة لمختلف الأنظمة بلغات متعددة من البرمجية الخبيثة يعود إلى الرغبة في تقليل الفرصة لاكتشافها.
وأضاف: «اتباع هذه الاستراتيجية ليس أمرًا فريدًا في أوساط الجهات التخريبية، لكننا نادرًا ما نرى برمجية يتم تعديلها للعمل على نظامين في وقت واحد، حتى في شكل نصّ Python برمجي، وتشمل المواصفات الأخرى المثيرة للاهتمام أن أحد أنظمة التشغيل المستهدفة هو النظام «ماك أو إس»، ما اعتُبر هدفًا مفاجئًا بالنظر إلى المنطقة الجغرافية المستهدفة».
نصائح مهمة
ويوصي خبراء كاسبرسكي باستخدام حل أمني موثوق به بغض النظر عن نوع النظام والأجهزة التي تعمل عليه، فالواقع يقول إن نظام التشغيل الأقل شيوعًا ليس أقل عُرضة للتهديدات لتجنب الوقوع ضحية هجوم موجّه، مع الحرص على تحديث جميع البرمجيات والتطبيقات المستخدمة في الشركة بانتظام، لا سيما عند إصدار الشركات المنتجة لها تصحيحات أمنية.
وقد تساعد الحلول الأمنية المزودة بقدرات تقييم للثغرات الأمنية وإدارة التصحيحات، على أتمتة هذه العمليات، بالإضافة إلى اعتماد نظام حماية أساسي للنقاط الطرفية، والحرص على تزويد الموظفين بالتدريب الأساسي حول الأمن الرقمي، إذ إن العديد من الهجمات الموجهة يبدأ بمحاولات تصيد أو استغلال مبادئ الهندسة الاجتماعية الأخرى، مع الاهتمام بتطوير مهارات فريق مركز العمليات الأمنية وتأهيله للتعامل مع أحدث التهديدات الموجهة، عبر تزويدهم بالتدريب على الهندسة العكسية عبر الإنترنت، من خلال البرنامج التدريبي المتخصص الذي وضعه خبراء فريق البحث والتحليل العالمي لدى كاسبرسكي.
لغة البرمجة
وكثيرًا ما تتكشف أمور مهمة عند البحث في التفاصيل الدقيقة لبعض الدلالات الكامنة في التهديدات الرقمية، وهو ما حدث في هذه الحملة التخريبية، وبمجرد أن ينجح التروجان في إصابة جهاز ما، فإنه عادة ما يُرسل إلى الخوادم التابعة للمهاجمين شفرة تحتوي على معلومات حول الجهاز وإعدادات الشبكة واسم المستخدم ومعلومات أخرى متصلة، ما يساعد المهاجمين في تحديد ما إذا كانت تُرجى من الجهاز المصاب أي منفعة أو مصلحة.
إلا أنه في هذه الحملة أرسل التروجان «ميليم» معلومات إضافية حول لغة البرمجة التي كُتب بها.
وكان باحثو «كاسبرسكي» قد اشتبهوا عند التحقيق لأول مرة في الحملة عام 2020، في أن هذا الأمر يشير إلى وجود إصدارات مختلفة من هذا التروجان بلغات مختلفة، وهو ما تأكّد توًّا للباحثين.
ترقية للأحدث
وكانت «كاسبرسكي» قد رصدت في ربيع هذا العام هجومًا شنته «وايلد بريجر» بمجموعة من أحدث إصدارات التروجان «ميليم».
وتحتوي الملفات المكتشفة على تروجان بإصدار مكتوب بلغة C++ وإصدار مماثل مكتوب بلغة (VBScript).
كذلك كشفت تحقيقات إضافية في هذا الهجوم عن إصدار آخر من البرمجية الخبيثة مكتوب بلغة Python، التي طُوّرت خصيصًا لنظامي التشغيل «ويندوز» و«ماك أو إس»، وكانت جميع الإصدارات الثلاثة من التروجان قادرة على تنزيل الأوامر من المشغل وتنفيذها، وجمع المعلومات، وترقية نفسها إلى إصدارات أحدث.
خبث نادر
ويندر وجود برمجية خبيثة متعددة الأنظمة قادرة على إصابة أجهزة عاملة على النظام «ماك أو إس»، وكانت العينة التي خضعت للتحرّي قد نُقلت إلى الجهاز المصاب ضمن باقة اشتملت على البرمجية الخبيثة ومكتبة Python ونصٍّ باسم Guard، الأمر الذي أدى إلى تمكين البرمجية من العمل على كلٍ من «ويندوز» و«ماك أو إس»، مع بذل جهد إضافي قليل في هذا الجانب.
وتشغِّل البرمجية الخبيثة بمجرد إصابة الجهاز رمزًا يختلف باختلاف نظام التشغيل، لضمان استمرارها وجمعها للبيانات.
وتُجمع البيانات في ويندوز في ملف قابل للتنفيذ باستخدام PyInstaller، كما أن التروجان Python قادر من جانبه على التحقق مما إذا كانت الحلول الأمنية قيد التشغيل على الجهاز.
إصدارات متعددة
ويحتفظ مشغلو «وايلد بريجر» بمصالحهم في المنطقة الجغرافية التي ينشطون بها، وفق ما أوضح الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، دنيس ليجيزو، والذي قال إن واضعي التروجان طوروا إصدارات متعددة من تروجانات مماثلة، ولديهم نظامهم الخاص لبناء الإصدارات، مرجحًا أن السبب وراء تطوير إصدارات مماثلة لمختلف الأنظمة بلغات متعددة من البرمجية الخبيثة يعود إلى الرغبة في تقليل الفرصة لاكتشافها.
وأضاف: «اتباع هذه الاستراتيجية ليس أمرًا فريدًا في أوساط الجهات التخريبية، لكننا نادرًا ما نرى برمجية يتم تعديلها للعمل على نظامين في وقت واحد، حتى في شكل نصّ Python برمجي، وتشمل المواصفات الأخرى المثيرة للاهتمام أن أحد أنظمة التشغيل المستهدفة هو النظام «ماك أو إس»، ما اعتُبر هدفًا مفاجئًا بالنظر إلى المنطقة الجغرافية المستهدفة».
نصائح مهمة
ويوصي خبراء كاسبرسكي باستخدام حل أمني موثوق به بغض النظر عن نوع النظام والأجهزة التي تعمل عليه، فالواقع يقول إن نظام التشغيل الأقل شيوعًا ليس أقل عُرضة للتهديدات لتجنب الوقوع ضحية هجوم موجّه، مع الحرص على تحديث جميع البرمجيات والتطبيقات المستخدمة في الشركة بانتظام، لا سيما عند إصدار الشركات المنتجة لها تصحيحات أمنية.
وقد تساعد الحلول الأمنية المزودة بقدرات تقييم للثغرات الأمنية وإدارة التصحيحات، على أتمتة هذه العمليات، بالإضافة إلى اعتماد نظام حماية أساسي للنقاط الطرفية، والحرص على تزويد الموظفين بالتدريب الأساسي حول الأمن الرقمي، إذ إن العديد من الهجمات الموجهة يبدأ بمحاولات تصيد أو استغلال مبادئ الهندسة الاجتماعية الأخرى، مع الاهتمام بتطوير مهارات فريق مركز العمليات الأمنية وتأهيله للتعامل مع أحدث التهديدات الموجهة، عبر تزويدهم بالتدريب على الهندسة العكسية عبر الإنترنت، من خلال البرنامج التدريبي المتخصص الذي وضعه خبراء فريق البحث والتحليل العالمي لدى كاسبرسكي.