رصد باحثو فريق البحث والتحليل العالمي في شركة «كاسبرسكي» برمجية خبيثة جديدة عُرفت باسم GhostContainer، خلال مشاركتهم في عملية استجابة لحادث سيبراني استهدف بنية خوادم Exchange في جهات حكومية. وتُعد البرمجية المكتشفة الأولى من نوعها من حيث مستوى التعقيد والتخفي، ويُعتقد أنها جزء من حملة تهديدات متقدمة مستمرة (APT) تستهدف جهات آسيوية بارزة، من بينها شركات تقنيات عالية.
الملف التنفيذي، المعروف باسم App_Web_Container_1.dll، يتمتع بقدرات متعددة ويستخدم قنوات مفتوحة المصدر، مع إمكانية تحميل وحدات إضافية لتوسيع قدراته بشكل ديناميكي. ويمنح هذا التكوين المهاجمين سيطرة كاملة على خوادم Exchange المستهدفة، بما يمكّنهم من تنفيذ أنشطة ضارة يصعب رصدها.
يستفيد GhostContainer من تقنيات تمويه متقدمة تجعله يبدو كعنصر مشروع في النظام، مما يعزز من احتمالات بقائه غير مرئي للحلول الأمنية التقليدية. كما يمكن للبرمجية أن تعمل كوكيل اتصال داخلي، مما يفتح المجال أمام تسرب البيانات الحساسة إلى خارج الشبكة، وهو ما يعزز من فرضية أن الهجوم يستهدف عمليات التجسس السيبراني.
وقال سيرجي لوجكين، مدير الفريق لمنطقة آسيا والمحيط الهادئ والشرق الأوسط وتركيا وأفريقيا لدى كاسبرسكي: «يُظهر تحليلنا أن المهاجمين يملكون خبرة عميقة في بيئة IIS وExchange ويستغلون قنوات متعددة مفتوحة المصدر، مما يجعل من الصعب تتبعهم». وأضاف أن الأدوات المستخدمة مبنية على مفاتيح متاحة علناً، وهي سمة بارزة في برمجيات التهديدات المعاصرة.
ولا تزال هوية الجهة التي تقف خلف GhostContainer غير معروفة، إذ لم تُسجّل حتى الآن مؤشرات على البنية التحتية الخاصة بالمهاجمين. ويشير التقرير إلى أن نهاية عام 2024 شهدت رصد أكثر من 14 ألف حزمة برمجية تجسسية مفتوحة المصدر، ما يمثل زيادة بنسبة 48 في المائة مقارنة بالعام السابق، وهو مؤشر على تصاعد مستوى التهديدات في هذا المجال.
توصيات «كاسبرسكي» للحماية من الهجمات المتقدمة
يوصي خبراء «كاسبرسكي» باتخاذ عدة إجراءات وقائية تشمل:
- تزويد مراكز العمليات الأمنية (SOC) بأحدث معلومات التهديدات السيبرانية، من خلال منصات موثوقة مثل بوابة Kaspersky Threat Intelligence Portal.
- رفع كفاءة الكوادر الأمنية من خلال برامج تدريبية متخصصة توفرها منصة كاسبرسكي الإلكترونية، بإشراف خبراء البحث والتحليل.
- اعتماد حلول الكشف والاستجابة مثل Kaspersky Endpoint Detection and Response لضمان سرعة التعامل مع الحوادث الأمنية.
- تطبيق حلول أمنية موجهة للمؤسسات، مثل منصة Kaspersky Anti Targeted Attack، للكشف المبكر عن التهديدات المتقدمة.
- تفعيل برامج التوعية الأمنية لمواجهة أساليب الهندسة الاجتماعية والتصيد الاحتيالي، باستخدام منصات تدريبية آلية مثل Kaspersky Automated Security Awareness Platform.
