StealerBot: سلاح تجسسي جديد يهدد أمن المنطقة

كشفت شركة كاسبرسكي عن حملة تجسس إلكتروني متقدمة تستهدف كيانات حكومية وشركات في الشرق الأوسط وأفريقيا، وتُعتبر هذه الحملة من أخطر التهديدات السيبرانية، حيث تقودها مجموعة تُعرف باسم (SideWinder). وقد استعرضت الشركة، خلال مشاركتها في معرض جيتكس جلوبال 2024، التفاصيل التقنية لأداة التجسس الجديدة وغير المعروفة سابقًا، التي أُطلق عليها اسم (StealerBot). 

تُظهر التقارير أن هذه الحملة لا تزال نشطة، وقد تشكل خطرًا على المزيد من الكيانات، وفقًا لفريق البحث والتحليل العالمي (GReAT) في كاسبرسكي.

أداة StealerBot: كيف تعمل؟

تعتبر مجموعة (SideWinder)، التي تُعرف أيضًا باسم APT-T-04 أو RattleSnake، واحدة من أقدم مجموعات التهديدات المتقدمة، حيث بدأت أنشطتها في عام 2012. ركزت المجموعة في البداية على كيانات عسكرية وحكومية في بلدان مثل باكستان وسريلانكا والصين ونيبال، ولكن في الآونة الأخيرة توسعت هجماتها لتشمل الشرق الأوسط وأفريقيا، مما جعلها تهديدًا أكثر انتشارًا.

وقد اكتشفت كاسبرسكي استخدام المجموعة لأداة StealerBot، المصممة خصيصًا لعمليات التجسس الإلكتروني. هذه الأداة تتميز بقدرتها على الاختباء داخل الأنظمة المستهدفة دون أن تترك أي آثار واضحة، حيث تعتمد على هيكل معياري مكون من عدة وحدات تقوم بوظائف محددة. هذه الوحدات لا تظهر على هيئة ملفات على القرص التخزيني، بل يتم تحميلها بشكل مباشر على الذاكرة، مما يجعل تتبعها صعبًا للغاية.

القدرات التجسسية لـ StealerBot

خلال تحقيقها، رصدت كاسبرسكي أنشطة خبيثة متعددة قامت بها أداة StealerBot، تشمل تثبيت برمجيات ضارة إضافية، وأخذ لقطات للشاشة، وتسجيل نقرات لوحة المفاتيح، وسرقة كلمات المرور من المتصفحات، واعتراض بيانات بروتوكول سطح المكتب البعيد (RDP)، واستخراج الملفات الحساسة. هذه القدرات تجعل StealerBot أداة تجسس قوية قادرة على تنفيذ عمليات سرية طويلة الأمد دون أن يكتشفها النظام.

التكتيكات والأساليب المستخدمة

اعتمدت مجموعة (SideWinder) في حملاتها على رسائل البريد الإلكتروني للتصيد الاحتيالي الموجه كوسيلة رئيسية للإصابة. تحتوي هذه الرسائل على مستندات خبيثة تستغل ثغرات برامج أوفيس (Office)، كما تستخدم ملفات LNK وHTML وHTA داخل الأرشيفات لزيادة فعالية الهجمات. وغالبًا ما تحتوي المستندات الخبيثة على معلومات مأخوذة من مواقع إلكترونية عامة لتضليل الضحية وإيهامه بمشروعية المحتوى.

أبلغت كاسبرسكي عن أنشطة SideWinder لأول مرة في عام 2018، ومنذ ذلك الحين شهدت المجموعة تطورًا في تقنياتها وتوسيع نطاق هجماتها. إلى جانب StealerBot، تستخدم المجموعة أيضًا أدوات الوصول عن بُعد (RAT) في حملاتها، سواء تلك المعدلة خصيصًا للهجمات أو المتاحة للجمهور.

توصيات كاسبرسكي للأمن السيبراني

للحد من مخاطر هذه الهجمات المتطورة، أوصت كاسبرسكي بتعزيز فرق أمن المعلومات داخل المؤسسات بأحدث المعلومات التقنية حول التهديدات السيبرانية، مثل تلك المتوفرة عبر بوابة معلومات التهديدات الخاصة بها. كما نصحت باستخدام حلول منيعة لحماية النقاط الطرفية، مثل Kaspersky Next وKaspersky Anti Targeted Attack Platform، التي توفر اكتشافًا مبكرًا للتهديدات المتقدمة. 

إلى جانب ذلك، يوصي الخبراء بتثقيف الموظفين حول كيفية التعرف على محاولات التصيد الاحتيالي والتصرف بحذر عند التعامل مع رسائل البريد الإلكتروني المشبوهة.

تشكل حملة مجموعة (SideWinder) الأخيرة تهديدًا خطيرًا على الأمن السيبراني في الشرق الأوسط وأفريقيا. ومع تطور الأدوات المستخدمة مثل StealerBot، أصبح من الضروري اتخاذ التدابير الوقائية اللازمة لحماية الأنظمة والبيانات الحساسة من الهجمات السيبرانية المتطورة.