استطاع خبراء كاسبرسكي تحديد نسخة ذات وظائف جديدة من البرمجية الخبيثة «جانيكاب» Janicab، التي تستخدمها عصابة «ديث ستاكير» DeathStalker، أو «مطارد الموت» المتخصصة في التهديدات المتقدمة المستمرة، للتسلل إلى مؤسسات مالية وقانونية ووكالات سفر.
ورُصدت النسخة الجديدة في مناطق في أوروبا والشرق الأوسط، ووُجد أنها تستغلّ بعض خدمات الويب الرسمية، مثل يوتيوب YouTube،ضمن سلسلة الإصابة.
Janicab برمجية خبيثة بلغة مفسَّرة
وفقا لـ كاسبرسكي، يمكن أن تؤدي الإصابة بالبرمجية «جانيكاب» Janicab، على سبيل المثال إلى تحديات لوجستية وقانونية مستهدفة، وتحسين مكانة المنافسين، وعمليات تدقيق مفاجئة قد تكشف عن تحيزات وإساءاتفي استخدام الملكية الفكرية، ما يجعل أضرارها تختلف عن الأضرار التقليدية الناجمة عن هجمات من قبيل الابتزاز الرقمي أو الفدية.
ويمكن اعتبار «جانيكاب» Janicab برمجية خبيثة معياريةمكتوبة بلغة مفسَّرة، ما يعني أن الجهة التخريبية قادرة على إضافة الوظائف أو تضمين الملفات، أو إزالتها، بجهد ضئيل.
تغيّرات في البنية الهيكلية لـJanicab
تبيَّن من قراءات كاسبرسكي الواردة عن بُعد أن نسخ «جانيكاب» Janicab الأحدث شهدت تغيّرات ملموسة في بنيتها الهيكلية، مع وجود نسخ أرشيفية تحتوي على العديد من الملفات المكتوبة بلغة «بايثون» Python، وغيرها من القطع المستخدمة لاحقاً في عملية الاختراق، وذلك بالرغم من أن آلية التوصيل لا تزال قائمة على التصيّد.
وبمجرد أن يتمّ خداع الضحية وفتح الملف الخبيث، يجري بالتتابع تحميل سلسلة من الملفات الخبيثة على النظام.
وتتمثل إحدى السمات المميِّزة لبرمجية «ديث ستاكير» DeathStalker في استخدامها لخدمات DDR أو خدمات الويب، لاستضافة سلسلة مشفَّرة يُفكّ تشفيرها لاحقاً بغرسة من البرمجيات الخبيثة.
استخدام روابط يوتيوب في عمليات اقتحام
وفقاً لتقرير جديد، استطاعت كاسبرسكي تحديد استخدام روابط يوتيوب YouTube قديمة كانت موجودة في عمليات اقتحام تمّت في العام 2021. وكانت العصابة قادرة على العمل بسرية وتكرار استخدام بنيتها الخاصة بالقيادة والسيطرة، نظراً لصعوبة العثور على روابط الويب غير المدرجة.
واشتملت المؤسسات المتأثرة التي وقعت ضمن المجال التقليدي للعصابة «ديث ستاكير» DeathStalker، في الأساس،على مؤسسات قانونية ومالية واستثمارية ووكالات السفر.
واعتُبرت أوروبا والشرق الأوسط من مناطق العمل المثالية للعصابة،ولكن بدرجات متفاوتة بين دول المنطقتين.
سرقة معلومات سرية متعلقة بكبار الشخصيات
قال ئيس مركز الأبحاث لمنطقة الشرق الأوسط وتركيا وإفريقيا في فريق البحث والتحليل العالمي لدى كاسبرسكي د.أمين حاسبيني، إن بالإمكان الافتراض بأمان،بأن الأهداف الرئيسة لعصابة «ديث ستاكير» DeathStalker تتمثل في سرقة المعلومات السرية الخاصة بالنزاعات القانونية المتعلقة بكبار الشخصيات وبالأصول المالية الكبيرة، فضلاً عن المعلومات التجارية التي تمسّ التنافسية، والمعلومات حول عمليات الدمج والاستحواذ، وذلك بالنظر إلى أن المؤسسات القانونية والمالية «هدف مشترك لهذه العصابة».
وأضاف: «يجب على المؤسسات العاملة في هذه القطاعات الاستعداد لمثل حالات الاختراق هذه، وتحديث نماذجها الخاصة بالتهديدات، لضمان بقاء البيانات آمنة».
وشدد حاسبيني، على ضرورة أن تعتمد المؤسسات المتأثرة على القوائم البيضاء للتطبيقات، وتدعيم أنظمة التشغيل، باعتبارها أساليب فعّالة لمنع محاولات الاقتحام، وذلك نظراً لاستمرار العصابة في استخدام برمجيات خبيثة مستندة إلى لغة مفسَّرة في محاولات الاختراق الحديثة.
واستطرد: كذلك على جهات الحماية أن تبحث أيضاً عن إجراءات المتصفحة إنترنت إكسبلورر Internet Explorer التي تعمل من دون واجهة مستخدم، نظراً لأن Janicab يستخدم المتصفح في الوضع المخفي للتواصل مع البنية الأساسية للقيادة والسيطرة.
