كشف حملة تجسس سيبراني تستهدف أنظمة "ويندوز سيرفر" في المؤسسات الحكومية
كشف خبراء أمن المعلومات عن حملة تجسس سيبراني واسعة النطاق تُعرف باسم (PassiveNeuron)، تستهدف أنظمة ويندوز سيرفر (Windows Server) في المؤسسات الحكومية والمالية والصناعية في مناطق مختلفة من آسيا وإفريقيا وأمريكا اللاتينية.
وبحسب تقرير صادر عن فريق البحث والتحليل العالمي (GReAT) التابع لشركة كاسبرسكي، فإن الحملة عاودت نشاطها مؤخرًا بعد توقف دام نحو ستة أشهر، مستخدمة ثلاث أدوات رئيسية – اثنتان منها غير معروفتين سابقًا – لاختراق الشبكات المستهدفة والحفاظ على وجودها داخلها لفترات طويلة.
أدوات التجسس المستخدمة
تشمل الأدوات المستخدمة في الحملة كلًا من:
Neursite: برمجية "باب خلفي" قابلة للتعديل، تُستخدم لجمع معلومات النظام وإدارة العمليات وتوجيه حركة البيانات داخل الشبكة عبر الأجهزة المصابة، ما يمكّن المهاجمين من التنقل بين الأنظمة داخليًا.
NeuralExecutor: برمجية خبيثة مزروعة تعتمد على منصة .NET، صُممت لتحميل وتشغيل حمولات إضافية، وتتميز بامتلاكها طرق اتصال متعددة بخوادم التحكم والسيطرة الخاصة بالمهاجمين.
Cobalt Strike: إطار برمجي يُستخدم عادة لاختبار الاختراق، لكن مجموعات التهديد المتقدمة (APT) توظفه لأغراض خبيثة في تنفيذ الهجمات.
تركيز على خوادم المؤسسات
قال جورجي كوشيرين، الباحث الأمني في فريق GReAT، إن حملة PassiveNeuron تتميز بتركيزها على اختراق الخوادم المكشوفة على شبكة الإنترنت، والتي تمثل العمود الفقري لشبكات المؤسسات. وأوضح أن اختراق خادم واحد قد يتيح للمهاجمين الوصول إلى أنظمة حيوية أخرى داخل الشبكة.
وأشار إلى ضرورة تقليص مساحة الهجوم المرتبطة بخوادم المؤسسات ومراقبة تطبيقاتها باستمرار لاكتشاف البرمجيات الخبيثة والتصدي لها مبكرًا.
دلائل على هوية الجهة المهاجمة
أظهرت التحليلات أن البرمجيات الخبيثة تتواصل مع خوادم تحكم خارجية وأنظمة داخلية مخترقة، كما تبين أن المهاجمين استخدموا سلاسل أحرف سيريلية بدلًا من أسماء الوظائف الأصلية في التعليمات البرمجية، في محاولة لتضليل المحللين الأمنيين بشأن مصدر الهجوم.
ويرجح فريق كاسبرسكي، بدرجة محدودة من اليقين، أن الحملة مرتبطة بجهة تهديد ناطقة باللغة الصينية، مشيرين إلى أن نشاط PassiveNeuron رُصد سابقًا في عام 2024، وتم وصفها حينها بأنها من الحملات عالية التطور والتنظيم.
توصيات أمنية
أكد الخبراء أهمية قيام المؤسسات بتحديث أنظمة "ويندوز سيرفر" بشكل دوري، وتطبيق سياسات مراقبة متقدمة لحركة الشبكات الداخلية والخارجية، إلى جانب تعزيز أنظمة الكشف والاستجابة للحوادث السيبرانية، للحد من المخاطر المحتملة المرتبطة بهذه الحملة وأمثالها.
