زيادة حادة في حملات الهجوم المستهدفة

الهجمات المستهدفة - APT على أنظمة معلوماتية مهمة تحتوي على الكثير من البيانات وتأثير كبير، كانت ولا تزال واحدة من اتجاهات الهجوم التي اختارتها العديد من مجموعات القراصنة. ويتزايد هذا الاتجاه بشكل أقوى في سياق قيام العديد من المنظمات والشركات بتحويل عملياتها إلى البيئة الرقمية، مع أصول بيانات أكبر بشكل متزايد.

في الواقع، أظهر وضع الأمن السيبراني في العالم وفيتنام في الأشهر الأولى من هذا العام بوضوح الاتجاه المتزايد للهجمات المستهدفة على أنظمة الوحدات العاملة في قطاعات رئيسية مثل الطاقة والاتصالات وما إلى ذلك. على وجه التحديد، في فيتنام، في النصف الأول من عام 2024، تسببت الهجمات المستهدفة باستخدام برامج الفدية على أنظمة VNDIRECT وPVOIL وما إلى ذلك في حدوث اضطرابات في العمليات وأضرار مادية وصورية لهذه الشركات بالإضافة إلى الأنشطة لضمان الأمن السيبراني الوطني.

برنامج الفدية W-su-co-tan-cong-vndirect-1-1-1.jpg
إن الهجوم المتعمد باستخدام البرامج الضارة لتشفير البيانات في نظام VNDIRECT في وقت سابق من هذا العام هو درس كبير للوحدات في فيتنام حول ضمان أمن المعلومات. الصورة: DV

في معلومات تم تبادلها حديثًا، قال المركز الوطني لمراقبة الأمن السيبراني - NCSC التابع لإدارة أمن المعلومات، إن الوحدة سجلت مؤخرًا معلومات تتعلق بحملات هجوم إلكتروني متعمدة باستخدام برامج ضارة معقدة وتقنيات هجوم متطورة لاختراق أنظمة المعلومات المهمة للمنظمات والشركات، بهدف رئيسي يتمثل في الهجمات الإلكترونية وسرقة المعلومات وتخريب النظام.

وفي التحذير الصادر بتاريخ 11 سبتمبر والذي تم إرساله إلى وحدات تكنولوجيا المعلومات والأمن المعلوماتي المتخصصة في الوزارات والفروع والمحليات؛ قدمت إدارة أمن المعلومات معلومات مفصلة حول حملات هجوم APT التي شنتها ثلاث مجموعات هجومية: Mallox Ransomware وLazarus وStately Taurus (المعروفة أيضًا باسم Mustang Panda) للشركات والمؤسسات المملوكة للدولة والمؤسسات التي تقدم خدمات الاتصالات والإنترنت والمنصات الرقمية والمؤسسات المالية والمصرفية.

وعلى وجه التحديد، إلى جانب تجميع وتحليل سلوكيات الهجوم لمجموعات الهجوم في 3 حملات هجومية مستهدفة تستهدف أنظمة معلوماتية مهمة بما في ذلك: حملة الهجوم المتعلقة ببرنامج Mallox ransomware، وحملة مجموعة Lazarus باستخدام تطبيقات Windows التي تنتحل صفة منصات مؤتمرات الفيديو لنشر العديد من أنواع البرامج الضارة، وحملة مجموعة Stately Taurus التي تستغل VSCode لمهاجمة المنظمات في آسيا، قدمت وزارة أمن المعلومات أيضًا مؤشرات الهجوم الإلكتروني - IoC حتى تتمكن الوكالات والمنظمات والشركات في جميع أنحاء البلاد من مراجعة واكتشاف المخاطر المبكرة للهجمات الإلكترونية.

قبل ذلك بقليل، في أغسطس 2024، أصدرت إدارة أمن المعلومات أيضًا تحذيرات مستمرة بشأن حملات هجومية مستهدفة خطيرة أخرى مثل: الحملة التي تستخدم تقنية "AppDomainManager Injection" لنشر البرامج الضارة، والتي تم تحديدها على أنها مرتبطة بمجموعة APT 41 وتؤثر على المنظمات في منطقة آسيا والمحيط الهادئ، بما في ذلك فيتنام؛ حملة هجوم إلكتروني نفذتها مجموعة APT StormBamboo، تستهدف مزودي خدمات الإنترنت، بهدف نشر برامج ضارة على أنظمة macOS وWindows الخاصة بالمستخدمين للسيطرة على المعلومات المهمة وسرقةها؛ تم تنفيذ حملة الهجوم الإلكتروني من قبل مجموعة الهجوم APT MirrorFace، وكانت "الأهداف" هي المؤسسات المالية ومعاهد الأبحاث والشركات المصنعة...

نموذج خطوة الهجوم 1.jpg
رسم بياني يوضح خطوات هجوم مجموعة APT StormBamboo التي تستهدف مزودي خدمات الإنترنت، والتي حذرت منها إدارة أمن المعلومات في 6 أغسطس 2024. الصورة: المركز الوطني للأمن السيبراني

وتُعد المعلومات المتعلقة بمجموعات الهجوم المستهدفة التي تستهدف المؤسسات والشركات الكبيرة في فيتنام أيضًا أحد المحتوى الذي تركز عليه شركة Viettel Cyber ​​​​Security في تحليله ومشاركته في التقرير حول حالة أمن المعلومات في فيتنام في النصف الأول من هذا العام.

على وجه التحديد، يظهر التحليل الذي أجراه خبراء الأمن السيبراني في شركة Viettel أنه في النصف الأول من عام 2024، قامت مجموعات هجوم APT بتحديث الأدوات والبرامج الضارة المستخدمة في حملات الهجوم. وعليه، فإن أسلوب الهجوم الرئيسي لمجموعات APT هو استخدام مستندات وبرامج مزيفة لخداع المستخدمين لتنفيذ تعليمات برمجية ضارة؛ والتقنية الشائعة التي تستخدمها العديد من المجموعات هي DLL-Sideloading، والتي تستغل ملفات قابلة للتنفيذ نظيفة لتحميل DLLs ضارة أو من خلال ثغرات أمنية CVE.

تشمل مجموعات APT التي تم تقييمها بواسطة النظام التقني لشركة Viettel Cyber ​​​​Security على أنها ذات تأثير كبير على الشركات والمؤسسات في فيتنام في الأشهر الأولى من عام 2024 ما يلي: Mustang Panda و Lazarus و Kimsuky و SharpPanda و APT32 و APT 28 و APT27.

إجراءات لمنع المخاطر المبكرة لتعرض النظام لهجوم من قبل APT

في تحذيراتها بشأن حملات الهجوم المستهدفة APT، توصي إدارة أمن المعلومات الوكالات والمنظمات والشركات بإجراء عمليات تفتيش ومراجعة لأنظمة المعلومات المستخدمة والتي قد تتأثر بحملة الهجوم. وفي الوقت نفسه، قم بمراقبة المعلومات المتعلقة بحملات الهجمات الإلكترونية بشكل استباقي لاتخاذ إجراءات مبكرة وتجنب خطر التعرض للهجوم.

أمن نظام المعلومات W-1-1.jpg
ونصحت الوكالات والمنظمات والشركات المحلية بتعزيز المراقبة وإعداد خطط الاستجابة عند اكتشاف علامات الاستغلال والهجمات الإلكترونية. الصورة: لوس أنجلوس

وفي الوقت نفسه، يوصى أيضًا بأن تعزز الوحدات عمليات المراقبة وإعداد خطط الاستجابة عند اكتشاف علامات الاستغلال والهجمات الإلكترونية؛ مراقبة قنوات التحذير للسلطات ومنظمات أمن المعلومات الكبرى بشكل منتظم للكشف الفوري عن مخاطر الهجمات الإلكترونية.

في سياق الهجمات الإلكترونية، بما في ذلك الهجمات المستهدفة، التي تتزايد باستمرار على مستوى العالم وفي فيتنام، أوصى خبراء أمن المعلومات أيضًا المنظمات والشركات المحلية بعدد من التدابير للتركيز عليها لتقليل المخاطر والحفاظ على استمرار الإنتاج والأنشطة التجارية.

وهذا يعني: مراجعة العمليات، وأنظمة إدارة بيانات العملاء، والبيانات الداخلية؛ فحص النظام بشكل استباقي بحثًا عن علامات التطفل، واكتشاف مجموعات الهجوم المستهدفة والاستجابة لها في وقت مبكر؛ مراجعة وتحديث إصدارات البرامج والتطبيقات التي تحتوي على ثغرات أمنية لها تأثيرات خطيرة...

تدرب فنيون من دول آسيا والمحيط الهادئ على الاستجابة لهجمات التهديدات المتقدمة المستمرة . عُقد التمرين الدولي APCERT 2024، تحت شعار "الاستجابة لهجمات التهديدات المتقدمة المستمرة: إيجاد حلول للمشاكل الصعبة"، في 29 أغسطس، بمشاركة فنيين من فيتنام ودول أخرى في آسيا والمحيط الهادئ.