يكشف HP Wolf Security عن أهم التهديدات الإلكترونية في الربع الأول من عام 2024
يعد التصيد الاحتيالي، باستخدام أداة نقل ملفات Microsoft الشهيرة لتصبح طفيليات على الشبكة، والفواتير الزائفة من بين التقنيات البارزة التي نشرها مجرمو الإنترنت خلال الأشهر الثلاثة الأولى من هذا العام، وفقًا لتقرير HP Wolf Security Threat Insights ربع السنوي الذي صدر يوم الخميس.
واستنادًا إلى تحليل البيانات من ملايين نقاط النهاية التي تشغل برامج الشركة، وجد التقرير أن المجرمين الرقميين يستغلون نوعًا من نقاط الضعف في مواقع الويب لمستخدمي التصيد الاحتيالي ويوجهونهم إلى مواقع ضارة عبر الإنترنت. يتم إرسال المستخدمين أولاً إلى موقع ويب شرعي، ثم تتم إعادة توجيههم إلى الموقع الضار، وهو تكتيك يجعل من الصعب على الهدف اكتشاف التبديل.
“يمكن أن تكون ثغرات إعادة التوجيه المفتوحة شائعة إلى حد ما ويسهل استغلالها،” كما أشار إريك كرون، مناصر الوعي الأمني في KnowBe4، مزود التدريب على الوعي الأمني في كليرووتر، فلوريدا.
وقال لـ TechNewsWorld: “إن القوة الموجودة فيها تعود إلى الأداة المفضلة لمجرمي الإنترنت، وهي الخداع”. “تسمح عملية إعادة التوجيه المفتوحة للجهات الفاعلة السيئة باستخدام عنوان URL شرعي لإعادة التوجيه إلى عنوان ضار عن طريق صياغة الرابط في الرسالة ليشمل جزءًا في نهاية عنوان URL، والذي نادرًا ما يتم التحقق منه من قبل الأشخاص، والذي يأخذ المستخدم إلى الموقع الخبيث. الموقع، حتى لو كانوا يعرفون ما يكفي للمرور فوق الرابط.
وأوضح: “على الرغم من أن عنوان URL الموجود في المتصفح سيُظهر الموقع الذي تمت إعادة توجيه الشخص إليه، فمن غير المرجح أن يتحقق الضحية منه بعد الاعتقاد بأنه قد نقر بالفعل على رابط شرعي”.
وأضاف: “من الشائع تعليم الأشخاص المرور فوق الروابط للتأكد من أنها تبدو شرعية، ولكن يجب أيضًا تعليمهم مراجعة عنوان URL دائمًا في شريط المتصفح قبل إدخال أي معلومات حساسة مثل كلمات المرور أو معلومات تحديد الهوية الشخصية أو المعلومات”. أرقام بطاقات الائتمان.”
لا يزال البريد الإلكتروني يمثل آلية التسليم الأساسية لعمليات إعادة التوجيه القائمة على المرفقات، كما أشار باتريك هار، الرئيس التنفيذي لشركة SlashNext، وهي شركة لأمن الشبكات في بليزانتون، كاليفورنيا. “لكننا”، كما قال لـ TechNewsWorld، “نشهد أيضًا تسليم هذه المرفقات خارج نطاق البريد الإلكتروني في Slack وTeams وDiscord وتطبيقات المراسلة الأخرى التي تحتوي على أسماء ملفات مبهمة تبدو حقيقية.
استغلال BITS
هناك هجوم ملحوظ آخر تم تحديده في التقرير وهو استخدام خدمة النقل الذكي في الخلفية لـ Windows (BITS) لإجراء غزوات “للعيش خارج الأرض” على أنظمة المؤسسة. نظرًا لأن BITS هي أداة يستخدمها موظفو تكنولوجيا المعلومات لتنزيل الملفات وتحميلها، يمكن للمهاجمين استخدامها لتجنب اكتشافهم.
وأوضح آشلي ليونارد، الرئيس التنفيذي لشركة Syxsense، وهي شركة عالمية لحلول تكنولوجيا المعلومات والأمن، أن BITS هو أحد مكونات Windows المصمم لنقل الملفات في الخلفية باستخدام النطاق الترددي للشبكة الخاملة. يتم استخدامه بشكل شائع لتنزيل التحديثات في الخلفية، مما يضمن بقاء النظام محدثًا دون تعطيل العمل أو للمزامنة السحابية، مما يتيح لتطبيقات التخزين السحابي مثل OneDrive مزامنة الملفات بين جهاز محلي وخدمة التخزين السحابي.
وقال ليونارد لـ TechNewsWorld: “لسوء الحظ، يمكن أيضًا استخدام BITS بطرق شائنة، كما هو مذكور في تقرير Wolf HP”. “يمكن للجهات الفاعلة الخبيثة استخدام BITS لعدد من الأنشطة – لسحب البيانات، أو لاتصالات القيادة والتحكم أو أنشطة الاستمرار، مثل تنفيذ تعليمات برمجية ضارة لترسيخ نفسها بشكل أعمق في المؤسسة.”
وقال: “لا توصي مايكروسوفت بتعطيل BITS بسبب استخداماتها المشروعة، ولكن هناك طرق يمكن للشركات من خلالها حماية نفسها من الجهات الفاعلة الخبيثة التي تستغلها”. وتشمل هذه:
- استخدم أدوات مراقبة الشبكة لاكتشاف أنماط حركة مرور BITS غير المعتادة، مثل نقل كميات كبيرة من البيانات إلى خوادم خارجية أو نطاقات مشبوهة.
- قم بتكوين BITS للسماح فقط للتطبيقات والخدمات المعتمدة باستخدامها ومنع أي محاولات من خلال عمليات غير مصرح بها للوصول إلى BITS.
- قم بفصل الأنظمة والبيانات المهمة عن المناطق الأقل حساسية في الشبكة للحد من الحركة الجانبية للمهاجمين في حالة حدوث تسوية.
- حافظ على تحديث جميع الأنظمة بأحدث التصحيحات والتحديثات الأمنية لإصلاح أي ثغرات أمنية معروفة يمكن استغلالها من قبل المهاجمين.
- استخدم موجزات معلومات التهديدات للبقاء على اطلاع بأحدث التكتيكات والتقنيات والإجراءات التي يستخدمها المهاجمون عبر الإنترنت، وقم بضبط الضوابط الأمنية بشكل استباقي وفقًا لذلك.
RAT في الفاتورة
كما وجد تقرير HP Wolf أيضًا لصوصًا على الشبكة يخفون برامج ضارة داخل ملفات HTML متنكرة في صورة فواتير البائعين. بمجرد فتح الملفات في متصفح الويب، تطلق العنان لسلسلة من الأحداث التي تنشر البرمجيات الخبيثة مفتوحة المصدر AsyncRAT.
قال نيك حياة، مدير استخبارات التهديدات في شركة Blackpoint Cyber، وهي شركة تقدم تكنولوجيا تعقب التهديدات واكتشافها والاستجابة لها، في مدينة إليكوت: “تتمثل ميزة إخفاء البرامج الضارة في ملفات HTML في أن المهاجمين يعتمدون على التفاعل مع هدفهم في معظم الحالات”. ، ماريلاند.
وقال لـ TechNewsWorld: “من خلال إخفاء البرامج الضارة في فاتورة مزيفة، من المرجح أن يدفع المهاجم المستخدم إلى النقر عليها لمعرفة الغرض من الفاتورة”. “وهذا بدوره يجعل المستخدم يتفاعل ويزيد من فرصة التوصل إلى تسوية ناجحة.”
في حين أن استهداف الشركات عن طريق إغراء الفواتير يعد أحد أقدم الحيل في الكتاب، إلا أنه لا يزال من الممكن أن يكون فعالاً ومربحًا للغاية.
وقال باتريك شلابفر، الباحث الرئيسي في مجال التهديدات في شركة HP Wolf، في بيان: “الموظفون العاملون في الأقسام المالية معتادون على تلقي الفواتير عبر البريد الإلكتروني، لذا من المرجح أن يفتحوها”. “إذا نجح المهاجمون، فيمكنهم تحقيق الدخل بسرعة من وصولهم عن طريق بيعه إلى وسطاء مجرمي الإنترنت أو عن طريق نشر برامج الفدية.”
وأضاف باتريك تيكيت، نائب الرئيس لشؤون الأمن والهندسة في شركة Keeper Security، وهي شركة لإدارة كلمات المرور والتخزين عبر الإنترنت، “إن مشهد التهديدات المتصاعد الذي تشكله الهجمات شديدة المراوغة المستندة إلى المتصفح هو سبب آخر يدفع المؤسسات إلى إعطاء الأولوية لأمن المتصفح ونشر تدابير استباقية للأمن السيبراني”. ، في شيكاغو.
وقال لـ TechNewsWorld: “إن الارتفاع السريع في هجمات التصيد الاحتيالي المستندة إلى المتصفح، وخاصة تلك التي تستخدم أساليب مراوغة، يسلط الضوء على الحاجة الملحة لتعزيز الحماية”.
أقل من ماسحات البوابة غير المنفذة
توصل تقرير آخر إلى أن 12% من تهديدات البريد الإلكتروني التي حددها برنامج HP Wolf قد تجاوزت واحدًا أو أكثر من أدوات فحص بوابة البريد الإلكتروني.
“يمكن أن تكون أدوات فحص بوابة البريد الإلكتروني أداة مفيدة للتخلص من الأنواع الشائعة من تهديدات البريد الإلكتروني. ومع ذلك، فهي أقل فعالية بكثير في الهجمات الأكثر استهدافًا، مثل التصيد بالرمح أو صيد الحيتان.
وتابع: “إن برامج فحص البريد الإلكتروني، حتى تلك التي تستخدم الذكاء الاصطناعي، تبحث عادةً عن أنماط أو كلمات رئيسية أو ستبحث عن التهديدات في المرفقات أو عناوين URL”. إذا استخدم الممثلون السيئون تكتيكات غير معتادة، فقد تفوتهم المرشحات.
وقال: “هناك خط رفيع بين تصفية التهديدات وحظر رسائل البريد الإلكتروني المشروعة. وفي معظم الحالات، سيتم ضبط عوامل التصفية لتكون أكثر تحفظًا وأقل احتمالية للتسبب في مشاكل عن طريق إيقاف الاتصالات المهمة.”
واعترف بأن ماسحات بوابة البريد الإلكتروني، حتى مع عيوبها، تعد بمثابة ضوابط أمنية حيوية، لكنه أكد أنه من المهم أيضًا أن يتم تعليم الموظفين كيفية اكتشاف الهجمات التي تمر عبرها والإبلاغ عنها بسرعة.
وأضاف كريشنا فيشنوبهوتلا، نائب رئيس استراتيجية المنتجات في شركة Zimperium، وهي شركة لأمن الأجهزة المحمولة مقرها في دالاس: “أصبحت الجهات الفاعلة السيئة مبدعة في تصميم حملات البريد الإلكتروني التي تتجاوز آليات الكشف التقليدية”.
وقال: “يجب على المؤسسات حماية موظفيها من روابط التصيد الاحتيالي ورموز الاستجابة السريعة الضارة والمرفقات الضارة في رسائل البريد الإلكتروني هذه عبر جميع نقاط النهاية القديمة والمتنقلة”.