في عالم الأمن السيبراني المتغير باستمرار، تبرز هجمات الفدية (Ransomware) كواحدة من أهم التهديدات التي تواجه الشركات والمؤسسات حول العالم. في نوفمبر 2024، شهدنا هجومًا بارزًا من قبل مجموعة “RA World” على شركة آسيوية تعمل في مجال البرمجيات والخدمات، مما أثار تساؤلات حول الأدوار المزدوجة للجهات الفاعلة في الهجمات السيبرانية.

تحليل متعمق وسياق تاريخي

استُخدمت في هذا الهجوم أدوات ضارة كانت تُستخدم سابقًا من قبل مجموعات تجسس سيبراني مرتبطة بالصين. وفقًا لفريق Symantec Threat Hunter، الذي يُعتبر جزءًا من شركة Broadcom، فإن الأدوات المستخدمة في هذا الهجوم كانت تهدف عادةً إلى الحفاظ على وجود مستمر داخل المنظمات المستهدفة عن طريق تثبيت أبواب خلفية.

على سبيل المثال، في يوليو 2024، تم اختراق وزارة خارجية في جنوب شرق أوروبا باستخدام تقنيات تحميل مكتبة ديناميكية (DLL Side-loading) لتثبيت برمجية PlugX الخبيثة، والتي تُستخدم بانتظام من قبل مجموعة Mustang Panda المعروفة أيضًا بأسماء Fireant وRedDelta.

تضمنت سلسلة الهجمات استخدام ملف تنفيذي شرعي من Toshiba يسمى “toshdpdb.exe” لتحميل مكتبة ديناميكية خبيثة تُسمى “toshdpapi.dll”، والتي بدورها تعمل كقناة لتحميل الحمولة المشفرة لبرمجية PlugX.

تأثيرات أمنية وتداعيات الهجمات

لاحظت شركة Symantec أن النسخة التي تم نشرها من برمجية PlugX في نوفمبر 2024 كانت جزءًا من حملة ابتزاز جنائية استهدفت شركة متوسطة الحجم في جنوب آسيا. على الرغم من أن تفاصيل كيفية اختراق شبكة الشركة لم تكن واضحة تمامًا، إلا أن المهاجمين زعموا استغلال ثغرة أمنية معروفة في برامج Palo Alto Networks PAN-OS.

تكشف التحليلات السابقة من Cisco Talos وPalo Alto Networks Unit 42 عن تداخل في التكتيكات بين مجموعة RA World ومجموعة تهديد صينية تعرف باسم Bronze Starlight. يُعتقد أن هذا التواطؤ يشير إلى وجود فاعل وحيد يسعى لتحقيق مكاسب سريعة.

رؤى الخبراء والاتجاهات الحديثة

إن تشغيل أنشطة مالية مدفوعة لدعم الأهداف الحكومية ليس بالأمر الجديد، إذ أن مجموعات مثل تلك المرتبطة بإيران وكوريا الشمالية تُسمح لها بتنفيذ عمليات مالية لزيادة دخلها. وفقًا لتقرير صادر عن مجموعة Google Threat Intelligence Group، فإن هذه الممارسات تُمكن الحكومات من تقليل التكاليف المباشرة اللازمة للحفاظ على مجموعات ذات قدرات قوية.

التطورات الأخيرة في الهجمات السيبرانية

تشير التقارير إلى أن مجموعة Salt Typhoon الصينية استغلت ثغرات أمنية معروفة في أجهزة Cisco لاستهداف شبكات متعددة عالميًا، بما في ذلك شركات اتصالات ومؤسسات تعليمية. ووفقًا لمجموعة Insikt Group التابعة لـ Recorded Future، فإن هذه الهجمات جرت بين ديسمبر 2024 ويناير 2025.

للتصدي لمثل هذه التهديدات، يوصى بأن تقوم المؤسسات بتطبيق التحديثات الأمنية المتاحة على الأجهزة المتصلة بالشبكة، وتجنب تعريض الواجهات الإدارية أو الخدمات غير الضرورية للإنترنت، خاصة تلك التي تجاوزت عمرها الافتراضي.

وجدت هذا المقال مثيرًا للاهتمام؟ تابعنا على تويتر وفيسبوك لقراءة المزيد من المحتوى الحصري الذي ننشره.