تهديدات أمنية خطيرة تستغل الملفات الموثوقة لاختراق الأنظمة

كشف تقرير أمني جديد عن تحول مقلق في أساليب الهجمات الإلكترونية، حيث باتت تعتمد بشكل متزايد على استغلال الملفات الروتينية والأنظمة الموثوقة لاختراق الضحايا بسهولة.

ما هي أبرز أساليب الاختراق التي رصدها تيكبامين هذا الأسبوع؟

تشير التحليلات الأمنية الأخيرة إلى أن المهاجمين لم يعودوا بحاجة لكسر أنظمة الحماية بقوة، بل يكتفون باستخدام "المفاتيح" المتاحة عبر ملفات عادية وخدمات يومية موثوقة لفتح الأبواب الخلفية.

ويتميز المشهد الحالي بقلة الجهد الذي يحتاجه المخترقون لتحقيق أهدافهم، حيث يركزون على نطاق الوصول والتوقيت واستغلال الثقة المفرطة بدلاً من السرعة أو الاستعراض التقني.

كيف استهدفت عملية Nomad Leopard المؤسسات الحكومية؟

تعرضت هيئات حكومية في أفغانستان لحملة تصيد إلكتروني معقدة أُطلق عليها اسم "Operation Nomad Leopard"، تستخدم وثائق إدارية مزيفة كطعم لتوزيع برمجية خبيثة.

تعتمد العملية على توزيع باب خلفي يُعرف باسم "FALSECUB" عبر ملف ISO مستضاف على منصة GitHub، ويتكون الهجوم من عدة مراحل تقنية دقيقة:

• ملف اختصار LNK (Doc.pdf.lnk) مسؤول عن عرض ملف PDF للضحية وتشغيل البرمجية الخبيثة.
• ملف PDF (doc.pdf) يحتوي على الطعم الحكومي المزيف لخداع المستخدم.
• الحمولة النهائية عبارة عن ملف تنفيذي بلغة C++ قادر على تلقي الأوامر من خادم خارجي.

وأشار التقرير الذي اطلع عليه تيكبامين إلى أن هذه الحملة يديرها فاعل تهديد إقليمي بمستوى تطور متوسط إلى منخفض.

ما هي مخاطر الهجمات الروسية على البنية التحتية البريطانية؟

حذرت الحكومة البريطانية من استمرار الأنشطة الخبيثة لمجموعات قرصنة موالية لروسيا مثل "NoName057(16)"، والتي تستهدف البنية التحتية الحيوية والمنظمات الحكومية المحلية.

وتهدف هذه المجموعات بشكل أساسي إلى تنفيذ هجمات حجب الخدمة (DoS) لتعطيل الوصول إلى الخدمات الأساسية، مما يكبد المؤسسات خسائر كبيرة:

• إخراج المواقع الإلكترونية والخدمات الحيوية عن الخدمة.
• استنزاف الموارد المالية والوقت في تحليل الهجمات والتعافي منها.
• تهديد المرونة التشغيلية للمؤسسات المستهدفة.

كيف تخدع برمجيات التثبيت المزيفة أنظمة الحماية؟

كشفت منصة VirusTotal التابعة لشركة جوجل عن حملة خطيرة لسرقة المعلومات تعتمد على ملفات تنفيذية موثوقة لخداع نظام التشغيل وتحميل برمجيات ضارة.

تستخدم هذه الحملة تقنية تُعرف بـ "DLL side-loading" لتحميل مكتبة برمجية خبيثة ("CoreMessaging.dll")، ويتم توزيعها بذكاء عبر أرشيفات ZIP تقلد برامج شرعية:

• انتحال صفة مثبتات برامج حماية معروفة مثل Malwarebytes.
• استخدام أسماء ملفات خادعة للغاية مثل "malwarebytes-windows-github-io-6.98.5.zip".
• تنفيذ برمجيات لسرقة البيانات الحساسة تلقائياً فور تشغيل الملف الموثوق ظاهرياً.

توصيات تيكبامين للحماية الرقمية

يؤكد خبراء الأمن الرقمي على ضرورة التحقق الدقيق من مصادر الملفات قبل تحميلها، حتى لو كانت تحمل أسماء برامج شهيرة، وتحديث أنظمة الحماية بشكل دوري لمواجهة هذه الحيل المتجددة.