بالو ألتو نتوركس: هجمات إلكترونية جديدة لعصابة (شيفر) تستهدف المنطقة

رصدت بالو ألتو نتوركس، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، أنشطة جديدة لعصابة (شيفر) المتخصصة في الهجمات الإلكترونية التي تستهدف مؤسسات في القطاعين العام والخاص في منطقة الشرق الأوسط.

وقامت عصابة شيفر في نوفمبر من العام 2018 باستهداف إحدى الجهات الحكومية في المنطقة معتمدة على أدوات استخدمتها في السابق وتم الكشف عنها في العام 2018، ولم يتسنى بعد التعرّف على الطريقة التي تم من خلالها إطلاق هذه الهجمة الجديدة.

وترصد بالو ألتو نتوركس نشاطات مجموعة شيفر منذ العام 2016، وقد بدأت المجموعة نشاطها قبل ذلك في العام 2015 على أقل تقدير. تعتمد الحمولة البرمجية الثانوية الجديدة على لغة البرمجة بايثون ويتم تجميعها على شكل ملف تنفيذي. وهذه هي المرة الأولى التي تقوم فيها بالو ألتو نتوركس بالتعرّف على حمولة برمجية معتمدة على لغة بايثون قيد الاستخدام من قبل هذه المجموعة. كما تعرّفت الشركة أيضاً على تشابه في الكود مع النص البرمجي لعصابة (أويلريغ)، وفي الوقت الحالي ترصد بالو ألتو نتوركس كل من شيفر وأويلريغ كمجموعتي منفصلتين. وأطلق على هذه الحمولة البرمجية اسم ميشافلاوندر لتسهيل رصدها والإشارة إليها.  

ولاتزال الطريقة التي يقوم من خلالها المهاجمون بحث الضحايا على تنزيل هذا الملف لا تزال غير معروفة.

من الجدير بالذكر أن نشاط مجموعة الإجرام الإلكتروني شيفر بدأ منذ العام 2015 على أقل تقدير حيث تركز على مؤسسات في القطاعين العام والخاص في منطقة الشرق الأوسط. ولاحظت بالو ألتو نتوركس تركيز المجموعة على اختراق المؤسسات الحكومية منذ العام 2016 على أقل تقدير، ولكن ما لاحظته شركة بالو ألتو نتوركس هو أن هذه هي المرة الأولى التي تعتمد فيها المجموعة على حمولة برمجية مبنية على لغة البرمجة (بايثون). وتم إنشاء الحمولة قيد الذكر، والتي باتت الآن تعرف باسم ميشافلاوندر، من قبل مجموعة شيفر من خلال دمج كود تم تطويره من قبلها مع كود متوفر مجاناً من خلال منتديات تطوير البرمجيات عبر شبكة الإنترنت. ويبدو أن حمولة ميشافلاوندر البرمجية والمستخدمة كحصان طروادة تزخر بإمكانات تكفي لمهاجمي مجموعة شيفر لتنفيذ العمليات المطلوبة والتي تؤدي بهم إلى تحقيق أهدافهم.

من الملاحظ أن كل من مجموعتي أويلريغ وشيفر للإجرام السيبراني تشتركان بالكثير من السمات من حيث طريقة العمل وربما يمكن لكلتاهما الوصول إلى الكود ذاته أو المصادر ذاتها لتطوير الحمولات البرمجية الخبيثة. وفي هذا الإطار قامت بالو ألتو نتوركس برصد وتسجيل أوجه التشابه المتعددة في نشاطات كلاً من المجموعتين وتتابع العمل على رصد نشاطات هاتين المجموعتين كل على حدى.

ويتمتع عملاء بالو ألتو نتوركس بالحماية التامة من هذه التهديدات.

التعليقات