اكتشف فريق الباحثين لدى كاسبرسكي حملة خبيثة لا زالت جارية، والتي استهدفت في البداية هيئة حكومية في الشرق الأوسط. ومكن تحقيق معمق في هذا الحادث من تحديد أكثر من 30 عينة من حاقنات البرمجيات الخبيثة المستعملة بنشاط في هذه الحملة، والكشف عن توسيع نطاق المنظمات المستهدفة من قبل هذه الحملة إلى أوروبا وآسيا – المحيط الهادي وأمريكا الشمالية. وتضمنت سلاسل شيفرة هذا البرنامج الخبيث، الذي أطلق عليه اسم DuneQuixote، مقاطع من الشعر الإسباني بهدف التمويه وتحسين تثبيت البرنامج وتجنب اكتشافه، وذلك بغرض التجسس الإلكتروني.
في إطار مراقبتهم المستمرة وتتبعهم للأنشطة الخبيثة، اكتشف خبراء كاسبرسكي في فبراير 2024 حملة جديدة للتجسس الإلكتروني لم تكن معروفة من قبل، والتي استهدفت هيئة حكومية في الشرق الأوسط. وتمكن المهاجم خلال هذه الحملة من التجسس بشكل متكتم على الضحية ومن جمع بيانات حساسة بمساعدة مجموعة من الأدوات المعقدة تم تصميمها بغرض تنفيذ حملة خفية ومستمرة.
تتخذ آليات التقطير الأولى للبرنامج الخبيث شكل ملفات تثبيت معدلة موجهة لتنزيل برنامج Total Commander الشرعي. وتم إدماج مقاطع أشعار إسبانية في حاقنات البرنامج الخبيث التي تتكون من سلاسل مختلفة من عينة إلى أخرى. وتهدف هذه النسخ المختلفة إلى تغيير بصمة كل عينة، مما يزيد من صعوبة اكتشافها بالطرق التقليدية.
تشتمل آلية تقطير البرنامج على شيفرة خبيثة مصممة لتنزيل حمولات مفيدة إضافية في شكل أبواب خلفية يطلق عليها CR4T. وتتيح هذه الأبواب الخلفية، التي تم تطويرها باستعمال لغات البرمجة C/C++ و GoLang، للمهاجمين إمكانية الوصول إلى جهاز الضحية. وتستخدم النسخة المطورة باستعمال لعة GoLang بشكل خاص واجهة برمجة التطبيقات API Telegram لإجراء اتصالات C2، من خلال استعمال شرائط API Telegram العمومية المتوفرة بلغة البرمجة Golang.
« نستخلص من مختلف نسخ البرنامج الخبيث مدى قدرة التأقلم والبراعة التي يتمتع بها الواقفون خلف هذه الحملة. فحتى الآن، اكتشفنا نوعين من البرامج المدسوسة من هذا الصنف، لكننا نعتقد أن هناك أنواع أخرى من هذه البرمجيات المدسوسة »، يقول سيرغي لوخكين، الباحث الرئيسي في المجال الأمني ضمن فريق الأبحاث والتحاليل الشاملة GreAT لدى كاسبرسكي.
مكنت عمليات القياس عن بعد لكاسبرسكي من تحديد أول ضحية في الشرق الأوسط منذ فبراير 2024. إضافة إلى ذلك، تم القيام بعدة تحويلات لنفس البرنامج الخبيث إلى مصلحة شبه عمومية للبحث في البرمجيات الخبيثة في نهاية سنة 2023، والتي شملت أكثر من 30 إرسالية. وتم تحديد مواقع مصادر أخرى يشتبه في كونها تشكل عقد خروج في كل من كوريا الجنوبية ولوكسمبورج واليابان وكندا وهولندا والولايات المتحدة الأمريكية.
لمعرفة المزيد حول حملة DuneQuixote، موعدنا على منصة Securelist.
نبذة عن كاسبرسكي:
“كاسبرسكي”، شركة عالمية للأمن الإلكتروني وحماية الحياة الخاصة، تأسست سنة 1997. واعتبارا لكونها توفر الحماية، إلى حدود اليوم، لحوالي مليار جهاز حول العالم ضد التهديدات الإلكترونية والهجمات المستهدِفة، فإن خبرة كاسبرسكي في مجال الأمن والاستعلامات حول التهديدات، يتم تحويلها باستمرار إلى حلول وخدمات مبتكرة لحماية الشركات والبنيات التحتية الحساسة والسلطات العمومية والأفراد في العالم أجمع. وتشمل محفظة كاسبرسكي الواسعة من حلول الأمن الإلكتروني توفير الحماية المتقدمة لأجهزة التشغيل النهائية، ومنتجات وخدمات أمينة متخصصة، إضافة إلى حلول المناعة الإلكترونية لمكافحة التهديدات الرقمية المعقدة والمتطورة باستمرار. يقدم كاسبرسكي المساعدة لأزيد من 220 ألف مقاولة بغرض تمكينها من حماية ما تعتبره مهما بالنسبة لها. للمزيد من المعلومات، تصفحوا الموقع: www.kaspersky.com
