محتالون إلكترونيون يستغلون أدوات مفتوحة المصدر لاختراق مؤسسات مالية أفريقية

كشف باحثون في مجال أمن سيبراني عن سلسلة من الهجمات الإلكترونية التي تستهدف المؤسسات المالية في أفريقيا، مستخدمين مزيجاً من الأدوات مفتوحة المصدر والعامة للحفاظ على الوصول. ترجع هذه الهجمات إلى يوليو 2023 على الأقل، وتشير إلى استراتيجية متطورة يستخدمها المهاجمون.

تتبع وحدة Unit 42 من Palo Alto Networks هذه الأنشطة تحت الاسم الرمزي CL-CRI-1014، حيث يشير CL إلى “عنقود” و CRI إلى “دافع إجرامي”. الهدف النهائي لهذه الهجمات هو الحصول على وصول أولي ثم بيعه لجهات إجرامية أخرى، مما يجعل الجهة الفاعلة وسيط وصول أولي (IAB).

هجمات CL-CRI-1014 تستهدف القطاع المالي الأفريقي

تتميز الهجمات بنشر أدوات كـ PoshC2 للتحكم والسيطرة (C2)، و Chisel لتوجيه حركة مرور الشبكة الضارة، و Classroom Spy للإدارة عن بعد. وبينما لم تتضح بعد الطريقة الدقيقة التي يستخدمها المهاجمون لاختراق الشبكات المستهدفة، إلا أنهم يعتمدون على إخفاء أدواتهم.

أساليب التخفي وتجاوز الدفاعات

لتجنب الكشف، يتم تمرير الحمولة الخبيثة كبرامج شرعية، باستخدام أيقونات لتطبيقات معروفة مثل Microsoft Teams، و Palo Alto Networks Cortex، و Broadcom VMware Tools. يتم تثبيت PoshC2 على الأنظمة باستخدام ثلاث طرق مختلفة: إعداد خدمة، وحفظ اختصار (LNK) في مجلد بدء التشغيل، واستخدام مهمة مجدولة باسم “Palo Alto Cortex Services”.

في بعض الحالات التي رصدتها الشركة الأمنية، يُقال أن الجهات الفاعلة قد سرقت بيانات اعتماد المستخدمين واستخدمتها لإعداد وكيل (Proxy) باستخدام PoshC2. هذا يسمح لهم بالتواصل مع خادم القيادة والتحكم (C2) بطريقة مخفية.

من جهة أخرى، لم تكن هذه المرة الأولى التي تستخدم فيها PoshC2 في هجمات تستهدف الخدمات المالية في أفريقيا. ففي سبتمبر 2022، كشفت Check Point عن حملة تصيد احتيالي استهدفت شركات مالية وتأمينية في عدة دول أفريقية لتوصيل برمجيات خبيثة مختلفة.

التطور المستمر لتهديدات الفدية

يأتي الكشف عن هذه الهجمات بالتزامن مع إلقاء Trustwave SpiderLabs الضوء على مجموعة جديدة من برامج الفدية تسمى Dire Wolf، والتي نجحت بالفعل في استهداف 16 ضحية عبر دول مختلفة منذ ظهورها الشهر الماضي. وتشمل القطاعات الأكثر استهدافاً التكنولوجيا، والتصنيع، والخدمات المالية.

يكشف تحليل برنامج Dire Wolf أنه مكتوب بلغة Golang، ويأتي بقدرات تعطيل تسجيل النظام، وإنهاء قائمة محددة مسبقاً من الخدمات والتطبيقات، ومنع جهود الاسترداد عن طريق حذف النسخ الاحتياطية. وعلى الرغم من عدم معرفة تقنيات الوصول الأولي أو الاستطلاع أو الحركة الجانبية التي تستخدمها Dire Wolf حالياً، إلا أن المنظمات مدعوة لاتباع ممارسات الأمان الجيدة.

What's Hot

حصار الباحثين والموردين.. معركة متجددة في ظروف استثنائية

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

هجمات CL-CRI-1014 تستهدف القطاع المالي الأفريقي

أساليب التخفي وتجاوز الدفاعات

التطور المستمر لتهديدات الفدية

حماية المنافذ السيبرانية الأمريكية من هجمات إلكترونية مدعومة إيرانياً بعد ضربات طهران النووية

القراصنة يستهدفون أكثر من 70 خادم مايكروسوفت إكستشينج لسرقة بيانات الاعتماد عبر برامج تسجيل ضربات المفاتيح

هاكرز موالون لإيران يسربون بيانات شخصية من الألعاب السعودية 2024

وكالات أمريكية تحذر من تصاعد الهجمات السيبرانية الإيرانية على البنية التحتية الحيوية وشبكات الدفاع والتشغيل

البحث يكشف تجسس “باتافيا ويندوز” على مستندات شركات روسية

إحباط هجوم سيبراني ضخم يستهدف متاجر بريطانية كبرى واعتقال 4

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

سيسكو تصلح ثغرة حرجة بالتحديث الرابع للأمن في وحدة الاتصالات الموحدة

عميلك الذكي قد يصبح أكبر تهديد داخلي لك

ثغرة في GitHub Action لـ Claude تسمح لهجمات خبيثة على المستودعات

نشرة التهديدات: عملاء الذكاء الاصطناعي الخارجون عن السيطرة وأدوات C2 المشبوهة وحيل ClickFix وأبواب خلفية لـ JS وأكثر من 20 قصة جديدة

سيسكا تدرج ثغرة ماجنتو ذات الخطورة العالية في قائمتها.

What's Hot

محتالون إلكترونيون يستغلون أدوات مفتوحة المصدر لاختراق مؤسسات مالية أفريقية

هجمات CL-CRI-1014 تستهدف القطاع المالي الأفريقي

أساليب التخفي وتجاوز الدفاعات

التطور المستمر لتهديدات الفدية

Keep Reading