تطور البرامج الضارة والتهديدات السيبرانية

في مشهد الأمن السيبراني المتطور باستمرار، شهد عام 2023 طفرة هائلة في تطور التهديدات السيبرانية والبرامج الضارة. مختبرات AT&T للأمن السيبراني الغريبة استعرض الأحداث الكبرى لعام 2023 وكيف تحولت البرامج الضارة هذا العام لتجربة طرق جديدة للاختراق وإحداث الفوضى.

لقد أبقت أحداث هذا العام خبراء الأمن السيبراني على أهبة الاستعداد، بدءًا من توسيع أنواع البرامج الضارة وحتى تقديم جهات تهديد جديدة وتقنيات الهجوم. فيما يلي بعض التطورات الأكثر إلحاحًا، والتي تسلط الضوء على القدرات المتطورة للبرامج الضارة والتحديات التي يواجهها المدافعون.

أبرز أحداث العام: الاتجاهات الناشئة والحوادث البارزة

مع مرور العام، تركت العديد من الاتجاهات والحوادث علامة لا تمحى على مشهد الأمن السيبراني:

استغلال OneNote للحمولات الضارة

استفاد مجرمو الإنترنت من Microsoft OneNote لتوصيل العديد من الحمولات الضارة إلى الضحايا، بما في ذلك Redline وAgentTesla وQuasar RAT وغيرها. أصبح برنامج Office غير المستغل سابقًا أداة مفضلة نظرًا لقلة الشك فيه واستخدامه على نطاق واسع.

تسمم SEO وإعلانات Google

لجأت الجهات الخبيثة إلى تكتيكات التسمم SEO، ونشر روابط التصيد الاحتيالي عبر إعلانات Google لخداع الضحايا المطمئنين. أدت هذه الروابط إلى صفحات ويب مستنسخة وحميدة، مما أدى إلى تجنب اكتشاف Google وبقاءها نشطة لفترات طويلة. وقد استفادت عائلات البرامج الضارة البارزة، بما في ذلك Raccoon Stealer وIcedID، من هذه الإستراتيجية.

استغلال الأحداث الجيوسياسية

استغل مجرمو الإنترنت المناخ الجيوسياسيوخاصة الصراع في الشرق الأوسط، كإغراء لهجماتهم. يعكس هذا الاتجاه حملات التصيد الاحتيالي وعمليات الاحتيال المتعلقة بالعملات المشفرة المتعلقة بأوكرانيا في العام الماضي.

التهديدات المستمرة المستمرة: لا يزال التجسس الذي ترعاه الدولة يمثل تحديات

التهديدات المستمرة المتقدمة استمرت (التهديدات المستمرة المتقدمة) في تشكيل تهديد كبير في عام 2023:

• Snake: أبلغت CISA عن Snake APT، وهي أداة تجسس إلكترونية متقدمة مرتبطة بجهاز الأمن الفيدرالي الروسي (FSB). وقد تم استخدام هذه البرامج الضارة منذ ما يقرب من عقدين من الزمن.
• Volt Typhoon: نُسبت حملة استهدفت مؤسسات البنية التحتية الحيوية في الولايات المتحدة إلى Volt Typhoon، وهي جهة فاعلة ترعاها الدولة ومقرها في الصين. وكان تركيزهم ينصب على التجسس وجمع المعلومات.
• Storm-0558: حملة التسلل المتطورة للغاية هذه، التي نظمتها Storm-0558 APT من الصين، تسللت إلى حسابات البريد الإلكتروني لحوالي 25 منظمة، بما في ذلك الوكالات الحكومية.

الارتفاع المتواصل لبرامج الفدية

برامج الفدية ظل تهديدًا سائدًا ومربحًا طوال العام:

• كوبا وسناتش: استهدفت مجموعات برامج الفدية مثل كوبا وسناتش البنية التحتية الحيوية في الولايات المتحدة، مما تسبب في قلق على الأمن القومي.
• ALPHV/BlackCat: بالإضافة إلى تسميم تحسين محركات البحث (SEO)، قامت هذه المجموعة باختراق أنظمة الكمبيوتر الخاصة بكازينوهات Caesar وMGM. كما لجأوا أيضًا إلى تقديم شكاوى إلى هيئة الأوراق المالية والبورصة الأمريكية (SEC) ضد ضحاياهم، ومارسوا ضغوطًا إضافية لدفع الفدية.
• استغلال الثغرات الأمنية الجديدة: لم يضيع مجرمو الإنترنت أي وقت في استغلال الثغرات الأمنية المكتشفة حديثًا، مثل CVE-2023-22518 في Atlassian’s Confluence، وCVE-2023-4966 (Citrixنزف)، وغيرها. أصبحت هذه الثغرات الأمنية بمثابة بوابات لهجمات برامج الفدية.
• عائلات برامج الفدية المتطورة: ظهرت متغيرات جديدة من برامج الفدية مثل Trash Panda بينما تكيفت العائلات الحالية لاستهداف خوادم Linux وESXi، مما أدى إلى توسيع نطاق وصولها.

المدونات البارزة لهذا العام

1. BlackGuard: رفع مستوى البرامج الضارة كخدمة

إحدى القصص البارزة لهذا العام كانت تطور حقر، وهي عبارة عن برامج ضارة هائلة كخدمة (MaaS) يتم تقديمها في المنتديات السرية وقنوات Telegram. خضعت هذه الأداة الخبيثة لترقية كبيرة، مما أدى إلى تضخيم قدراتها. يُعرف الإصدار الجديد من BlackGuard بالفعل بقدرته على سرقة البيانات الحساسة من المتصفحات والألعاب والمحادثات والعملات المشفرة.

قام BlackGuard بتحسين قدراته في مكافحة الانعكاس ووضع الحماية، مما جعله أكثر مراوغة بالنسبة لخبراء الأمن. علاوة على ذلك، يمكنه الآن التلاعب بمحافظ العملات المشفرة المنسوخة إلى الحافظة. شكل هذا التحسين تهديدًا خطيرًا لعشاق العملة المشفرة والمستثمرين. بالإضافة إلى ذلك، قام BlackGuard بدمج إمكانات Loader المتقدمة، مما مكنه من الانتشار عبر الأجهزة المشتركة أو القابلة للإزالة وإخفاء اتصالاته عبر الوكلاء العامين والخاصين أو شبكة Tor المجهولة.

2. SeroXen: صعود وسقوط الفئران السريع

وفي تطور من القدر، شهد عام 2023 صعودًا وهبوطًا نيزكيًا سيروكسين، نسخة جديدة من حصان طروادة Quasar Remote Access (RAT). أضاف هذا الفرع المعدل من RAT مفتوح المصدر تعديلات مهمة على إطاره الأصلي، مما أدى إلى تعزيز قدراته.

حقق SeroXen شهرة سريعة، حيث تم التعرف على مئات العينات خلال الأشهر القليلة الأولى من العام. ومع ذلك، بعد وقت قصير من نشر المدونة التي تسلط الضوء على ظهور الفيروس، أعلن موقع SeroXen عن إغلاقه ونفذ مفتاح القتل، مما يجعل أجهزة الكمبيوتر المصابة عديمة الفائدة للجهات الفاعلة الضارة. لقد كانت هذه حالة نادرة حيث أدى نشر الأبحاث عن غير قصد إلى سقوط إحدى أدوات البرامج الضارة.

3. AdLoad: تحولت أنظمة Mac إلى خوادم بروكسي

تم الكشف عن مختبرات AT&T للأمن السيبراني الغريبة حملة برامج ضارة مخادعة تتضمن AdLoad. حولت هذه البرامج الضارة أنظمة Mac الخاصة بالمستخدمين ببراعة إلى خوادم بروكسي، ثم تم بيعها إلى أطراف ثالثة، بما في ذلك بعضها لأغراض غير مشروعة. قام ممثل التهديد الذي يقف وراء الأنظمة المستهدفة المصابة بـ AdLoad بتثبيت تطبيق وكيل خلسة في الخلفية.

وقد عُرضت هذه الأنظمة المصابة لاحقًا على شركات الوكيل، حيث صورت نفسها على أنها كيانات مشروعة. استغل المشترون فوائد شبكات الروبوت الوكيل السكنية هذه، وتمتعوا بعدم الكشف عن هويتهم، والتوافر الجغرافي الواسع، والتناوب العالي لعنوان IP للقيام بأنشطة شائنة، بما في ذلك حملات البريد العشوائي.

وبعد نشر مدونة البحث، ظهرت حملة مماثلة تستهدف أنظمة ويندوز. تعكس طريقة العمل تلك الخاصة بإصدار Mac ولكنها مصممة خصيصًا لنظام التشغيل Windows، مما يؤدي إلى توسيع نطاق الأهداف المحتملة وتأثير شبكة الوكيل بشكل كبير.

4. AsyncRAT: تهديد التصيد الاحتيالي المستمر

طوال عام 2023، لاحظ خبراء الأمن السيبراني استمرارًا تدفق رسائل البريد الإلكتروني التصيدية باستخدام التقنيات المتقدمة. قامت رسائل البريد الإلكتروني هذه بإغراء الضحايا بتنزيل ملف JavaScript ضار، وهو ملف مبهم للغاية ومسلح بتدابير مكافحة وضع الحماية لتجنب اكتشافه. تهدف هذه الهجمات إلى تنفيذ عميل AsyncRAT على الأنظمة المخترقة، مما يمنح المهاجمين إمكانية الوصول الكامل عن بعد.

معلومات عنا

AT&T Alien Labs هي وحدة استخبارات التهديدات التابعة لشركة AT&T Cybersecurity. نحن نساعد في تزويد استشاراتنا في مجال الأمن السيبراني وخدماتنا الأمنية المُدارة بأحدث المعلومات المتعلقة بالتهديدات. نحن نعمل مع تبادل التهديدات المفتوحة (OTX) لتوفير بيانات التهديد القابلة للتنفيذ والتي يدعمها المجتمع. شاهد مدونة AT&T Cybersecurity لمزيد من الملاحظات والأبحاث من فريق Alien Labs.