تم اكتشاف هجوم جديد من نوع SalmonSlalom يستهدف المؤسسات الصناعية

[إعلان 1]

يستغل المهاجمون خدمات الحوسبة السحابية المشروعة لإدارة البرامج الضارة ونشر خطوط أنابيب هجوم معقدة ومتعددة المراحل لتجاوز أنظمة اكتشاف التطفل. ومن خلال هذا، يستطيع الأشرار نشر البرمجيات الخبيثة على نظام شبكة الضحية، وتثبيت أدوات التحكم عن بعد، والسيطرة على الجهاز، وسرقة المعلومات السرية وحذفها.

Kaspersky ICS CERT phát hiện tấn công SalmonSlalom nhắm vào tổ chức công nghiệp APAC - Ảnh 1. — كاسبرسكي تكتشف هجوم SalmonSlalom جديد يستهدف المؤسسات الصناعية في منطقة آسيا والمحيط الهادئ

واستهدفت الحملة الوكالات الحكومية والمنظمات الصناعية الثقيلة في العديد من البلدان والمناطق في منطقة آسيا والمحيط الهادئ ، بما في ذلك تايوان وماليزيا والصين واليابان وتايلاند وهونج كونج وكوريا الجنوبية وسنغافورة والفلبين وفيتنام. يستخدم القراصنة ملفات مضغوطة تحتوي على تعليمات برمجية خبيثة، متخفية في شكل مستندات متعلقة بالضرائب، وينشرونها من خلال حملات التصيد الاحتيالي على رسائل البريد الإلكتروني وتطبيقات المراسلة مثل WeChat وTelegram. بعد عملية تثبيت البرامج الضارة المعقدة متعددة الطبقات على النظام، سيشرع مجرمو الإنترنت في تثبيت برنامج خلفي يسمى FatalRAT.

على الرغم من أن هذه الحملة تشترك في بعض أوجه التشابه مع الهجمات السابقة باستخدام برامج الوصول عن بعد مفتوحة المصدر (RATs) مثل Gh0st RAT وSimayRAT وZegost وFatalRAT. وقد لاحظ الخبراء تحولاً كبيراً في التكتيكات والتقنيات وأساليب العمل، وكلها مصممة لاستهداف المنظمات والوكالات الناطقة باللغة الصينية.

تم تنفيذ الهجوم من خلال شبكة توصيل المحتوى (CDN) myqcloud وخدمة الاستضافة Youdao Cloud Notes - منصتان صينيتان شرعيتان للحوسبة السحابية. لتجنب الكشف والوقاية، استخدم المتسللون العديد من التقنيات مثل: تغيير خادم التحكم وحمولة البرامج الضارة بشكل مستمر لتقليل إمكانية تعقبهم، وتخزين البرامج الضارة على مواقع الويب المشروعة "لتجاوز" نظام الأمان، واستغلال الثغرات الأمنية في البرامج المشروعة لنشر الهجمات، والاستفادة من الوظائف المشروعة للبرنامج لتنشيط البرامج الضارة، وتشفير الملفات وحركة المرور على الشبكة لإخفاء الأنشطة غير العادية.

أطلقت كاسبرسكي على الحملة اسم SalmonSlalom لوصف كيفية تمكن مجرمو الإنترنت بمهارة من التهرب من دفاعات الشبكة باستخدام تكتيكات متطورة وأساليب متغيرة باستمرار، على غرار سباحة سمك السلمون في رحلة سريعة وشاقة تتطلب التحمل والإبداع للتغلب على العقبات.

قال يفجيني جونشاروف، رئيس فريق الاستجابة لطوارئ أنظمة التحكم الصناعي في كاسبرسكي: "يستخدم مجرمو الإنترنت تقنيات بسيطة نسبيًا لتحقيق أهدافهم، حتى في بيئات التكنولوجيا التشغيلية". تُعدّ هذه الحملة تحذيرًا لمؤسسات الصناعات الثقيلة في منطقة آسيا والمحيط الهادئ من قدرة جهات خبيثة على اختراق أنظمة تكنولوجيا التشغيل عن بُعد. ينبغي على المؤسسات رفع مستوى الوعي بهذه التهديدات، وتعزيز دفاعاتها، والاستجابة الاستباقية لحماية أصولها وبياناتها من الهجمات الإلكترونية.

[إعلان 2]
المصدر: https://thanhnien.vn/phat-hien-cuoc-tan-cong-moi-salmonslalom-nham-vao-cac-to-chuc-cong-nghiep-185250320140416728.htm