أعلنت شركة كاسبرسكي عن اكتشافها لحملة تجسس متقدمة تستهدف الجهات الحكومية والشركات في منطقة الشرق الأوسط وأفريقيا. وتُقَدَّم هذه الحملة من قبل مجموعة التهديدات المتقدمة المعروفة باسم (SideWinder)، التي تعتمد على أداة تجسس جديدة وغير مسبوقة تُدعى (StealerBot).
وقد تم الكشف عن هذا الأمر خلال مشاركة الشركة في معرض تقني، حيث أشار فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي إلى أن الحملة لا تزال نشطة وقد تستهدف مزيدًا من الضحايا في الفترة القادمة.
كيف تعمل أداة “StealerBot”؟
تأسست مجموعة التهديدات المتقدمة (SideWinder) – المعروفة أيضًا باسم APT-T-04 أو RattleSnake – في عام 2012، وقد استهدفت المجموعة على مدار السنوات الماضية بشكل أساسي كيانات عسكرية وحكومية في دول مثل باكستان وسريلانكا والصين ونيبال بالإضافة إلى دول وقطاعات في جنوب وجنوب شرق آسيا.
في الآونة الأخيرة، رصدت كاسبرسكي موجات جديدة من الهجمات التي تمتد لتشمل كيانات رفيعة المستوى وكذلك البنية التحتية الاستراتيجية في المنطقة.
إلى جانب التوسع الجغرافي، اكتشفت كاسبرسكي أن مجموعة (SideWinder) تستخدم أداة جديدة تُدعى (StealerBot)، والتي صُممت خصيصًا لأغراض التجسس، وتتميز بقدرتها الفائقة على الانسحاب داخل أنظمة الضحايا دون ترك أي آثار واضحة.
وفي ذات السياق، علق جيامباولو ديدولا، الباحث الأمني الرئيسي في فريق GReAT في كاسبرسكي، على الأداة فقال: “تعمل (StealerBot) كأداة تجسس سرية تتيح لمصادر التهديد مراقبة الأنظمة دون أن تُكتشف بسهولة. تعتمد هذه الأداة على هيكل معياري تُصمم فيه كل مكون لأداء مهمة محددة، ولا تظهر هذه المكونات كملفات على القرص التخزيني، مما يجعل تتبعها صعبًا. بدلاً من ذلك، يتم تحميلها مباشرة إلى الذاكرة، مع وجود ما يُسمى بـ (المنسق) في قلب (StealerBot) الذي يشرف على العملية برمتها، ويتواصل مع خادم القيادة والسيطرة الخاص بمصدر التهديد.
ما البيانات التي تسرقها أداة (StealerBot):
كشفت كاسبرسكي خلال تحقيقاتها الأخيرة أن (StealerBot) تنفذ مجموعة من الأنشطة الخبيثة، تشمل تثبيت برمجيات خبيثة إضافية، التقاط لقطات للشاشة، تسجيل نقرات لوحة المفاتيح، سرقة كلمات المرور من المتصفحات، واستخراج بيانات اعتماد بروتوكول سطح المكتب البعيد (RDP)، إلى جانب استخراج الملفات والمزيد.
تجدر الإشارة إلى أن كاسبرسكي قد أبلغت لأول مرة عن أنشطة مجموعة (SideWinder) في عام 2025، وتُعرف المجموعة باستخدام رسائل البريد الإلكتروني المخصصة للتصيد الاحتيالي كوسيلة رئيسية لنشر البرمجيات الخبيثة.
تحتوي هذه الرسائل غالبًا على مستندات خبيثة تستغل ثغرات في مجموعة برامج (أوفيس) Office، وفي بعض الأحيان تستخدم ملفات LNK وHTML وHTA المرفقة داخل أرشيفات.
كما لوحظ توظيف عدة عائلات من البرمجيات الخبيثة ضمن حملات موازية، بما في ذلك أدوات الوصول عن بعد (RAT)، سواء المعدلة أو المتاحة للجمهور.
وصايا خبراء كاسبرسكي:
لتقليل التهديدات المتعلقة بأنشطة التهديدات المتقدمة المستمرة، يوصي خبراء كاسبرسكي بتزويد فرق أمن المعلومات في المؤسسات بأحدث الرؤى والتفاصيل الفنية. كما يُنصح باستخدام حلول قوية للنقاط الطرفية ولمراقبة التهديدات المتقدمة على الشبكة، مثل تقنية Kaspersky Next وحل Kaspersky Anti Targeted Attack Platform. بالإضافة إلى ذلك، يُشدد على أهمية تثقيف الموظفين حول كيفية التعرف على تهديدات الأمن السيبراني مثل رسائل التصيد الاحتيالي.
في الختام، تمثل الحملة الأخيرة لمجموعة (SideWinder) تهديدًا جسيمًا للأمن السيبراني في المنطقة، مما يؤكد على ضرورة اتخاذ الاحتياطات اللازمة لحماية الأنظمة والبيانات من الهجمات السيبرانية المتطورة.
