اكتشف خبراء Kaspersky ICS CERT حملة هجوم إلكتروني تستهدف المنظمات الصناعية في منطقة آسيا والمحيط الهادئ (APAC). واستهدفت الحملة الوكالات الحكومية والمنظمات الصناعية الثقيلة في العديد من البلدان في منطقة آسيا والمحيط الهادئ، بما في ذلك تايوان (الصين)، وماليزيا، والصين، واليابان، وتايلاند، وكوريا الجنوبية، وسنغافورة، والفلبين، وفيتنام.

يستخدم القراصنة ملفات مضغوطة تحتوي على تعليمات برمجية خبيثة، متخفية في شكل مستندات متعلقة بالضرائب، لنشرها من خلال حملات التصيد الاحتيالي على رسائل البريد الإلكتروني وتطبيقات المراسلة مثل WeChat وTelegram. بعد تثبيت عملية تثبيت البرامج الضارة المعقدة متعددة الطبقات على النظام، سيشرع مجرمو الإنترنت في تثبيت باب خلفي يسمى FatalRAT.

وفي حين تشترك الحملة في بعض أوجه التشابه مع الهجمات السابقة باستخدام برامج ضارة مفتوحة المصدر للوصول عن بعد (RATs) مثل Gh0st RAT وSimayRAT وZegost وFatalRAT، فقد لاحظ الخبراء تغييرات كبيرة في التكتيكات والتقنيات وأساليب التشغيل، والتي تم تصميمها جميعها لاستهداف المنظمات والوكالات الناطقة باللغة الصينية.

أطلقت كاسبرسكي على الحملة اسم SalmonSlalom لوصف كيفية تمكن مجرمو الإنترنت بمهارة من التهرب من دفاعات الشبكة باستخدام تكتيكات متطورة وأساليب متغيرة باستمرار، على غرار سباحة سمك السلمون في رحلة سريعة وشاقة تتطلب التحمل والإبداع للتغلب على العقبات.

لحماية المؤسسات الصناعية الثقيلة بشكل استباقي من حملة الهجوم هذه، توصي كاسبيرسكي بالتدابير التالية:

- قم دائمًا بتمكين وطلب المصادقة الثنائية (2FA) عند تسجيل الدخول إلى الحسابات الإدارية وواجهات الويب الخاصة بحلول الأمان.

- تثبيت أحدث إصدارات حلول الأمان المركزية عبر النظام، وتحديث قواعد بيانات مكافحة الفيروسات ووحدات البرامج بانتظام.

- تحديث المعلومات حول أحدث التهديدات (على سبيل المثال، من Kaspersky Security Network) لمجموعات الأنظمة التي لا يُمنع قانونًا من استخدام خدمات أمان السحابة.

- نشر أنظمة مراقبة الأمان (SIEM) مثل Kaspersky Unified Monitoring and Analysis Platform…