تنقل نايلة الصليبي في "النشرة الرقمية" تحذير تقرير مختبر البحوث الأمنية Proofpoint عن مجموعة القرصنة TA4557 التي ابتكرت أسلوبَا جديدًا لكسب المال، عن طريق تثبيت باب خلفي في أنظمة الشركات الكبيرة والمتوسطة بواسطة سير ذاتية مزيفة. وبيع إمكانية الوصول للأنظمة المعلوماتية في الشركات في الويب المظلم. ما هذا الأسلوب وكيف يعمل؟
تهديد سيبراني مبتكر يستهدف مسؤولي التوظيف
أصبح الفضاء السيبراني الشاسع مساحة مليئة بالتهديدات الأمنية المتعددة تطال الأفراد، الشركات، المؤسسات و الأنظمة الحكومية، حيث يواكب إبداع القراصنة لكسب المال التحولات التقنية والاجتماعية للبشري المتصل الغارق في التحول الرقمي المبهم المعالم للكثيرين.
من أخر ابتكارات قراصنة الويب، ما كشف عنه تقرير لمختبر البحوث الأمنية Proofpoint عن مجموعة القرصنة TA4557 التي ابتكرت أسلوبًا جديدًا لاختراق الشركات الكبيرة والمتوسطة عن طريق طلبات مزيفة للتقدم لعروض الوظائف المقترحة، بواسطة إرسال السير الذاتية المزيفة إلى مسؤولي التوظيف التي تحتوي على روابط "مفخخة" ببرمجيات خبيثة تثبت بابا خلفيًا backdoor في جهاز كمبيوتر الضحية، ومن ثم تبيع مجموعة القراصنة هذه، إمكانية الوصول إلى الشبكة المعلوماتي في الشركة المخترقة لمن يدفع الثمن الأعلى في الويب المظلم.
تقنية اختراق مراوغة مع هندسة اجتماعية ذكية
لدى كل الشركات والمؤسسات اليوم صفحة مخصصة للتوظيف على موقع الويب الخاص بها أو تنشر إعلانات عبر المنصات الاجتماعية المتخصصة. يتم التقدم لهذه الوظائف عبر إرسال السيرالذاتية بالبريد الإلكتروني أوعبر روابط تحميل.
يعتبر تقرير مختبر البحوث الأمنية Proofpoint تقنية الهجوم الخاصة بـ مجموعة TA4557بسيطة ولكنها فعالة.
إذ تظهر رسائل البريد الإلكتروني المزيفة على أنها لمرشحين شرعيين جديين، فيها السيرة الذاتية للترشح لوظيفة كانت قد أعلنت عنها المؤسسة أوالشركة المستهدفة. وهذه الرسائل الموجهة إلى مسؤولي التوظيف مفخخة بروابط URL خبيثة تربط الضحية بموقع ويب مزيف تابع للقراصنة، على أنه سيرة ذاتية مفصلة للمرشح. وعندها يرد القراصنة برسالة إلكترونية مع مستند مرفق من نسق PDF أو Word بحجة أنه يحتوي على تعليمات لزيارة موقع السيرة الذاتية المزيف.
وهنا، يستخدم القراصنة في موقع الويب المزيف تقنية الفلترة، لتحديد ما إذا كان بإمكانهم توجيه الضحية إلى المرحلة التالية من سلسلة الهجوم.ففي حال لم تنجح الضحية المحتملة في اجتياز اختبارات التصفية او الفلترة، توجه إلى صفحة تحتوي على سيرة ذاتية بنص عادي.و إذا اجتازت الضحية اختبارات التصفية أوالفلترة، توجه إلى موقع الويب المزيف التابع للقراصنة الذي يستخدم تقنية CAPTCHA الشهيرة؛ هي تقنية تستخدم للتحقق من أن المستخدم هو إنسان وليس برنامج معلوماتي أو بوت. عن طريق عرض سؤال أو تحدي للمستخدم للتأكد من أنه يستطيع الإجابة عنه بشكل صحيح. عادة ما تستخدم البرامج الخبيثة من الوصول إلى موارد الخادم.
عند اكتمال عملية التحقق عبر تقنية الـ CAPTCHA، تبدا عملية تنزيل البرنامج الخبيث في جهازمسؤول التوظيف لتثبيت باب خلفي من نسق More_Eggs، وهي حلقة تقنية تعمل على إطالة وقت التنفيذ وتحسين قدرات المراوغة على بيئة الحماية. تساعد هذه التقنية الباب الخلفي على التفلت من التحليلات الأمنية، فُتثَبتُ نقطة الاختراق أو الوصول الخفية في الأنظمة المعلوماتية للشركة الضحية يستغلها القراصنة لبيعها لقراصنة آخرين.
أسلوب معقد يعرقل عمل خبراء أمن الشركات وأدوات الأمان الآلية
حسب خبراء Proofpoint يفتح أسلوب الاختراق الذي ابتكرته مجموعة TA4557آفاقًا جديدة لتقنيات الهندسة الاجتماعية ويكشف إلى أي مدى يمكن أن يصل تعقيد أنشطة هذه المجموعة من القراصنة التي تستخدم الإغراءات المتعلقة بالتوظيف باستخدام رسائل مزيفة مراوغة لبناء علاقة ثقة ودفع الضحية بعد ذلك للتفاعل بثقة مع المحتوى الخبيث اللاحق المشارك معهم، فيقعون في فخ النقر على الرابط بكل ثقة.
إلى جانب ذلك، تقوم هذه المجموعة بانتظام بتغيير عناوين البريد الإلكتروني ونطاقات السيرة الذاتية المزيفة ونطاقات البنية التحتية. بالإضافة إلى قدرة مجموعة TA4557 على وضع إجراءات تهرب واسعة النطاق لتجنب اكتشافها.
كل هذه العوامل تعرقل عمل خبراء أمن الشركات وأدوات الأمان الآلية حيث قد يكون من الصعب اكتشاف المحتوى الخبيث. وينصح تقرير خبراء الأمن السيبراني المؤسسات والشركات بالوعي والدراية باستراتيجيات مجموعات القرصنة. وتثقيف الموظفين، وخاصة أولئك الذين يعملون في أقسام التوظيف على الوعي والتنبه من هذا الأسلوب الجديد في التصيد والاختراق والهندسة الاجتماعية.
يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل
للتواصل مع #نايلةالصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@ وعلى ماستودون وعبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي