في عالم تتصارع فيه الدول على الهيمنة الرقمية، تشكل الهجمات الإلكترونية الموجهة أداة استراتيجية خطيرة تستخدمها الدول لتحقيق أهدافها السياسية والاقتصادية. في الآونة الأخيرة، كشفت شركة سكيورونيكس (Securonix) عن حملة هجوم إلكتروني متطورة تُعرف باسم “ديب#درايف” (DEEP#DRIVE)، والتي نسبت إلى مجموعة قرصنة تُدعى كيمسوكي (Kimsuky)، يُعتقد أن لها صلات بدولة كوريا الشمالية. هذه الحملة تستهدف بشكل خاص قطاعات الأعمال والحكومة والعملات الرقمية في كوريا الجنوبية.

تحليل الحملة وأساليب الهجوم

تتسم حملة “ديب#درايف” بتقنياتها المتعددة المراحل والذكية. حيث يقوم المهاجمون باستخدام طعم تصيد موجه بعناية، مكتوب باللغة الكورية، ويخفي نفسه على شكل مستندات تبدو شرعية. هذه المستندات المضللة تُرسل عبر رسائل بريد إلكتروني خادعة كملفات من نوع .HWP و.XLSX و.PPTX، وذلك لخداع المستلمين لفتحها وبدء عملية العدوى.

من الجدير بالذكر، أن سلسلة هجوم هذه الحملة تعتمد بشكل كبير على سكربتات باور شيل (PowerShell) في مراحل متعددة، بدءًا من تسليم الحمولة، وجمع المعلومات، وتنفيذ الأكواد. كما أن الحملة تعتمد على منصة دروب بوكس (Dropbox) لتوزيع الحمولة وسرقة البيانات. يبدأ الهجوم بملف مضغوط يحتوي على اختصار ويندوز (.LNK) يتنكر كمستند شرعي، وعند تشغيله، يتم تنفيذ كود باور شيل لجلب مستند طعم من دروب بوكس، بينما يقوم بإعداد المهام المجدولة على الجهاز المستهدف لضمان استمرارية الهجوم.

تأثيرات وأبعاد الهجوم

تكمن خطورة هذه الحملة في استخدام أساليب معقدة لتجنب الكشف والتعقب، مثل استخدام سكربتات باور شيل لتشفير وتنفيذ الأوامر بشكل غير مرئي، بالإضافة إلى اعتمادها على البنية التحتية السحابية للتوزيع وجمع البيانات، مما يصعب من عملية التحليل والاستجابة للحوادث.

الاعتماد على دروب بوكس وسكربتات باور شيل يوفر للمهاجمين وسيلة فعالة للتخفي وتجاوز القوائم السوداء التقليدية لعناوين IP أو النطاقات. كما أن البنية التحتية المستخدمة تُظهر ديناميكية وسرعة في إزالة الروابط الرئيسية بعد المراحل الأولى من الهجوم، مما يشير إلى مراقبة نشطة للحملة من قبل المهاجمين لضمان الأمان التشغيلي.

استنتاجات وتوصيات أمنية

تكشف هذه الحملة عن التطور المستمر في أساليب الهجوم الإلكتروني الموجه، مما يفرض على المؤسسات في القطاعات المستهدفة تعزيز دفاعاتها السيبرانية. من الضروري تبني تقنيات الكشف عن التهديدات المتقدمة وتعزيز الوعي الأمني بين الموظفين للوقاية من هجمات التصيد. كما ينبغي مراجعة وتحديث استراتيجيات الأمان السيبراني باستمرار لضمان القدرة على التصدي لهذه التهديدات المتطورة.

في الختام، كيف يمكن للقطاعين العام والخاص التعاون بشكل أفضل لتعزيز الأمن السيبراني ضد مثل هذه الهجمات الموجهة؟ شاركنا آرائك على وسائل التواصل الاجتماعي عبر فيسبوك وتويتر.