وجد تقرير جديد من Netskope يشرح بالتفصيل أهم التقنيات التي يستخدمها مجرمو الإنترنت لمهاجمة المؤسسات أن التطبيقات السحابية يتم استخدامها بشكل متزايد من قبل جهات التهديد، وهو ما يمثل 19% من إجمالي النقرات على روابط التصيد الاحتيالي. كما سلط التقرير الضوء على أهداف المهاجمين بحسب دوافعهم المالية أو الجيوسياسية.
يعكس تقرير السحابة والتهديدات هذا الصادر عن Netskope، وهي شركة مقرها الولايات المتحدة متخصصة في Secure Access Service Edge، الأرباع الثلاثة الأولى من عام 2023.
اقفز إلى:
- أهم التقنيات التي يستخدمها المهاجمون السيبرانيون
- الجهات الفاعلة التهديد الأكثر انتشارا ودوافعهم
- كيفية التخفيف من هذه التهديدات الأمنية السحابية
أهم التقنيات التي يستخدمها المهاجمون السيبرانيون
يتم تقسيم التكتيكات والتقنيات الأكثر شيوعًا التي يستخدمها المهاجمون لاختراق الأنظمة وتنفيذ التعليمات البرمجية الضارة والتواصل مع النظام المصاب إلى أربع فئات بواسطة Netskope: الوصول الأولي وتنفيذ الحمولات الضارة والقيادة والتحكم والتسلل.
الوصول الأولي
أسهل طريقة للمهاجم للوصول إلى النظام المستهدف هي عبر مستخدميه؛ وينطبق هذا بشكل خاص إذا قامت المنظمة المستهدفة بتصحيح جميع أنظمة الاتصال بالإنترنت وبالتالي لا تخضع لاستغلال الثغرات الأمنية الشائعة. الهندسة الاجتماعية هي الطريقة الأكثر شيوعًا التي يستخدمها المهاجمون لاستهداف المؤسسات، سواء كان ذلك عن طريق البريد الإلكتروني (التصيد بالحربة) أو الصوت (التصيد الاحتيالي) أو الرسائل النصية القصيرة (التصيد الاحتيالي عبر الرسائل النصية القصيرة) أو عبر شبكات التواصل الاجتماعي.
قامت Netskope بتحليل روابط التصيد الاحتيالي التي نقر عليها المستخدمون وخلصت إلى أن المستخدمين ينقرون بشكل متكرر على روابط التصيد المتعلقة بالتطبيقات السحابية (19%)، تليها مواقع التجارة الإلكترونية (16%) مثل Amazon أو eBay أو مواقع التسوق الأقل شهرة (الشكل أ).
الشكل أ
وفقًا لـ Netskope، فإن ثلث عمليات التصيد الاحتيالي التي تستهدف التطبيقات السحابية تركز على منتجات Microsoft. ذكرت Netskope مؤخرًا ذلك يعد Microsoft OneDrive التطبيق السحابي الأكثر شيوعًا المستخدم في المؤسسات، لذلك ليس من المفاجئ أن يستفيد المهاجمون من هذا الهدف كثيرًا، جنبًا إلى جنب مع Microsoft Teams وSharePoint وOutlook (الشكل ب).
الشكل ب
التطبيقات الثانية والثالثة الأكثر استهدافًا هي من Adobe (11%) وGoogle (8.8%).
لا يزال المهاجمون يستخدمون رسائل البريد الإلكتروني بشكل شائع لاستهداف المستخدمين، إلا أن معدل نجاح عمليات التصيد الاحتيالي هذه منخفض. بالنسبة للمبتدئين، غالبًا ما تستخدم المؤسسات مرشحات متقدمة لمكافحة التصيد الاحتيالي لاعتراض رسائل البريد الإلكتروني التصيدية قبل وصولها إلى المستخدمين. ثانيًا، تحاول المؤسسات رفع مستوى الوعي حول حملات الهجوم هذه وتثقيف مستخدميها حول كيفية اكتشاف رسائل البريد الإلكتروني التصيدية. وكرد فعل على هذه الدفاعات، ينشر المهاجمون استراتيجيات بديلة مختلفة للوصول إلى أهدافهم.
- تحسين محرك البحث: في كثير من الأحيان، يقوم المهاجمون بإنشاء صفحات ويب مبنية على مجموعات محددة من الكلمات الرئيسية غير الشائعة على الإنترنت، حتى يتمكنوا بسهولة من نشر تقنيات تحسين محركات البحث لضمان ظهور صفحتهم في المرتبة الأولى في نتائج محركات البحث.
- منصات التواصل الاجتماعي وتطبيقات المراسلة: يستفيد المهاجمون من منصات الوسائط الاجتماعية الشهيرة (مثل Facebook) أو تطبيقات المراسلة (مثل WhatsApp) للوصول إلى الأهداف باستخدام طُعم مختلفة.
- البريد الصوتي والرسائل النصية: يستهدف المهاجمون المستخدمين باستخدام البريد الصوتي (التصيد) أو رسالة قصيرة (التصيد الاحتيالي) لنشر روابط التصيد الاحتيالي. وتتمتع هذه الطريقة بميزة استهداف الهواتف المحمولة، والتي غالبًا ما تكون أقل حماية من أجهزة الكمبيوتر.
- صناديق البريد الإلكتروني الشخصية: يستهدف المهاجمون حسابات البريد الإلكتروني الشخصية للمستخدمين، والتي تُستخدم غالبًا على نفس الأنظمة التي يستخدمها الضحايا في العمل وقد تؤدي إلى الوصول إلى معلومات حساسة.
عندما يتعلق الأمر باستخدام الملفات المرفقة للتصيد الاحتيالي، فإن 90% من الهجمات تستخدم ملفات PDF لأنها تنسيق شائع الاستخدام في المؤسسات. صرح راي كانزانيز، مدير Netskope Threat Labs، لـ TechRepublic عبر البريد الإلكتروني، أن “ملفات PDF تحظى بشعبية كبيرة بين المهاجمين لأنها شائعة الاستخدام للفواتير والفواتير وغيرها من المراسلات المهمة. يقوم الخصوم بإنشاء فواتير مزورة وإرسالها إلى ضحاياهم. في كثير من الأحيان، المؤشرات الوحيدة التي تشير إلى أنها ضارة هي عنوان URL أو رقم الهاتف الذي يحتوي عليه، ويستخدم الخصوم تقنيات التشويش لإخفاء ذلك عن الحلول الأمنية. يتم إنشاء ملفات PDF هذه بكميات كبيرة ومع العديد من المتغيرات بحيث يصعب حاليًا على بعض الحلول الأمنية مواكبتها. وكما هو الحال مع أي اتجاهات معادية، فإن الحلول الأمنية سوف تلحق بالركب وسيركز المهاجمون على مجموعة جديدة من تقنيات التصيد الاحتيالي.
تنفيذ الحمولات الضارة
يمكن تنفيذ الحمولات الضارة من قبل مستخدمين غير متوقعين، مما يؤدي إلى تزويد المهاجم بإمكانية الوصول عن بعد إلى الأنظمة داخل المؤسسة لتشغيل المزيد من الأنشطة الضارة، مثل نشر برامج الفدية أو سرقة المعلومات.
يستخدم المهاجمون الآن تطبيقات التخزين السحابي أكثر قليلاً (55%) من التخزين على الويب (45%) في المتوسط خلال الأرباع الأولى من عام 2023 (الشكل ج).
الشكل ج
يمثل Microsoft OneDrive أكثر من ربع الاستخدام الإجمالي لتطبيقات التخزين السحابي لاستضافة البرامج الضارة (26%)، متقدماً على SharePoint (10%) وGitHub (9.5%).
الاتصالات الخبيثة وتسرب البيانات
يستخدم المهاجمون في الغالب بروتوكولي HTTP (67%) وHTTPS (52%) للاتصالات بين حمولاتهم الضارة وخوادم القيادة والتحكم الخاصة بهم؛ هذين البروتوكولين مسموح بهما بشكل كامل للمستخدمين، حيث أنهما الناقل الرئيسي لتصفح الإنترنت ولا تتم تصفيتهما بواسطة جدران الحماية.
بعيدًا عن HTTP وHTTPS، يتم استخدام بروتوكول نظام اسم المجال في 5.5% من اتصالات البرامج الضارة. إن بروتوكول DNS، الذي لا يتم حظره وتصفيته مطلقًا في المؤسسات، ليس خفيًا مثل HTTP وHTTPS عند نقل البيانات. كما أن DNS يجعل من الصعب على المهاجمين الاندماج مع حركة المرور المشروعة من المؤسسة ويمكنهم نقل بيانات أقل في المرة الواحدة مقارنة بـ HTTP أو HTTPS.
الجهات الفاعلة التهديد الأكثر انتشارا ودوافعهم
WizardSpider هو ممثل التهديد الأكثر انتشارًا
ممثل التهديد الأكثر انتشارًا كما لاحظت Netskope هو Wizard Spider، والذي يستخدم أيضًا الأسماء المستعارة لـ UNC1878 أو TEMP.MixMaster أو Grim Spider. معالج العنكبوت هو المسؤول عن TrickBot البرامج الضارة، والتي كانت في الأصل عبارة عن حصان طروادة مصرفي ولكنها تطورت إلى برامج ضارة معقدة تنشر أيضًا برامج ضارة إضافية تابعة لجهات خارجية مثل برامج الفدية.
وفيما يتعلق بالانتماء المحتمل، قال كانزانيز لـ TechRepublic أن “كل مجموعة جرائم إلكترونية كبرى تقريبًا تستخدم اليوم نموذجًا تابعًا حيث يمكن لأي شخص أن يصبح تابعًا ويستخدم أدوات المجموعة ضد أهداف من اختياره. ولا يختلف Wizard Spider عن ذلك، حيث تستخدم الشركات التابعة برامج TrickBot الضارة وعائلات برامج الفدية المتعددة.
الدوافع والأهداف الأساسية للجهات الفاعلة في مجال التهديد
ووفقاً لتقرير نتسكوب، فإن معظم الجهات التهديدية التي تحركها مكاسب مالية تأتي من روسيا وأوكرانيا؛ قامت الجهات الفاعلة في مجال التهديد في الغالب بنشر برامج الفدية بدلاً من أي نوع آخر من البرامج الضارة.
وعلى الجانب الجيوسياسي، لاحظ نتسكوب أن أكبر التهديدات تأتي من الصين، وعلى رأسها com.menuPass (المعروف أيضًا باسم APT10 أو Stone Panda أو Red Apollo) و الباندا المائية.
تختلف الصناعات الأكثر استهدافًا بين الجهات الفاعلة ذات الدوافع المالية والجيوسياسية، حيث تكون الخدمات المالية والرعاية الصحية هي الأكثر استهدافًا من قبل الجهات الفاعلة الجيوسياسية.
تعد أستراليا وأمريكا الشمالية المنطقتين الأكثر استهدافًا للجرائم المالية مقارنة بالاستهداف الجيوسياسي. وعندما سألنا الكنديين عن سبب استهداف أستراليا وأمريكا الشمالية، أجاب: “إذا سُئلنا بطريقة مختلفة، فربما يصبح الجواب أكثر وضوحا: لماذا تكون النسبة النسبية لنشاط الجماعات الجيوسياسية المتنافسة أعلى في بقية العالم؟ يعكس هذا النشاط صراعات سياسية أو اقتصادية أو عسكرية أو اجتماعية أوسع. لذا فإن النسبة الأعلى من نشاط الخصوم الجيوسياسي في بقية أنحاء العالم تبدو نتيجة للصراعات النشطة والمناخ الجيوسياسي الأوسع في تلك المناطق.
كيفية التخفيف من هذه التهديدات الأمنية السحابية
يجب على الشركات اتخاذ هذه الخطوات للتخفيف من هذه التهديدات الأمنية السحابية:
- انشر حلول أمان البريد الإلكتروني التي يمكنها تحليل الملفات والروابط المرفقة لاكتشاف التصيد الاحتيالي والبرامج الضارة.
- قم بتثقيف المستخدمين حول كيفية اكتشاف مخططات التصيد الاحتيالي والهندسة الاجتماعية التي قد تعرضهم أو تعرض الشركة للخطر. على وجه الخصوص، يجب على المستخدمين عدم تنزيل أي محتوى من الإنترنت، حتى لو تم تخزينه على تطبيقات سحابية، لا يصدر من جهة اتصال موثوقة.
- حافظ على تحديث جميع البرامج وأنظمة التشغيل وتصحيحها لتجنب التعرض للخطر بسبب ثغرة أمنية شائعة.
إفشاء: أنا أعمل لدى Trend Micro، لكن الآراء الواردة في هذا المقال تعبر عن آرائي.