في الآونة الأخيرة، ظهرت تهديدات جديدة في عالم الأمن السيبراني تقوم على استغلال برامج الفدية بلاك باستا و كاكتوس، حيث تعتمد كلا العائلتين من البرامج على وحدة تدعى باك كونكت (BackConnect) للحفاظ على السيطرة المستمرة على الأجهزة المصابة. هذا مؤشر على أن الجهات التي كانت ترتبط سابقًا ببلاك باستا قد انتقلت لتستخدم كاكتوس.
التقنيات المستخدمة: نظرة فاحصة
وفقًا لتحليل أجرته شركة تريند مايكرو يوم الاثنين، فإن هذه الوحدة تمنح المهاجمين قدرات واسعة للتحكم عن بعد، مما يتيح لهم تنفيذ أوامر على الجهاز المصاب. وهذا يمكنهم من سرقة بيانات حساسة مثل معلومات تسجيل الدخول والبيانات المالية والملفات الشخصية.
تجدر الإشارة إلى أن تفاصيل وحدة باك كونكت، التي تتابعها شركة الأمن السيبراني تحت اسم كيو باك كونكت (QBACKCONNECT) نظرًا لتداخلها مع محمل كيوك بوت (QakBot)، قد تم توثيقها لأول مرة في أواخر يناير 2025 من قبل فريق الاستخبارات السيبرانية في وولمارت وشركة سوفوس، التي أطلقت على المجموعة اسم STAC5777.
استراتيجيات الهجوم المتقدمة
على مدار العام الماضي، ازدادت سلاسل الهجوم باستخدام بلاك باستا اعتمادًا على تكتيكات قصف البريد الإلكتروني لخداع الأهداف المحتملة لتثبيت كويك أسست (Quick Assist) بعد الاتصال بهم بواسطة الجهات المهاجمة تحت قناع موظفي دعم تكنولوجيا المعلومات.
يتم استخدام الوصول كوسيلة لتحميل مكتبة DLL خبيثة (“winhttp.dll”) تسمى ريدبد (REEDBED) باستخدام OneDriveStandaloneUpdater.exe، وهو ملف تنفيذي شرعي مسؤول عن تحديث مايكروسوفت ون درايف. يقوم المحمل أخيرًا بفك تشفير وتشغيل وحدة باك كونكت.
قضايا ما بعد الاستغلال
أفادت تريند مايكرو بأنها لاحظت هجومًا بواسطة برنامج الفدية كاكتوس استخدم نفس النهج لنشر باك كونكت، ولكنه ذهب إلى ما هو أبعد من ذلك لتنفيذ مجموعة متنوعة من الأنشطة بعد الاستغلال مثل التحرك الجانبي وسرقة البيانات. ومع ذلك، فشلت الجهود في تشفير شبكة الضحية.
التداعيات والسياسات الأمنية
تكتسب تقارب التكتيكات أهمية خاصة في ضوء تسريبات سجلات المحادثة الأخيرة لبلاك باستا التي كشفت عن الهيكل التنظيمي والعمليات الداخلية لعصابة الجريمة الإلكترونية. وقد تبين أن أعضاء المجموعة المالية الدافع شاركوا بيانات اعتماد صحيحة تم الحصول عليها من سجلات أدوات سرقة المعلومات. بعض نقاط الوصول الأولية الأخرى البارزة هي بوابات بروتوكول سطح المكتب البعيد (RDP) ونقاط النهاية لشبكة VPN.
ذكرت تريند مايكرو: “المهاجمون يستخدمون هذه التكتيكات والتقنيات والإجراءات (TTP) — مثل التصيد الصوتي (vishing)، وكويك أسست كأداة عن بُعد، وباك كونكت — لنشر برنامج الفدية بلاك باستا”. وأضافت: “هناك أدلة تشير إلى أن الأعضاء انتقلوا من مجموعة بلاك باستا إلى مجموعة كاكتوس. تم الاستنتاج من تحليل التكتيكات والتقنيات والإجراءات المشابهة التي تستخدمها مجموعة كاكتوس”.
نحو مستقبل آمن: الدعوة للنقاش
في ظل هذه التهديدات المتزايدة، ما الذي يمكن أن تفعله المؤسسات لتعزيز دفاعاتها السيبرانية ضد هذه الأنواع من الهجمات المتقدمة؟ وكيف يمكن للتعاون بين القطاعات المختلفة أن يلعب دورًا حاسمًا في مواجهة هذه التهديدات؟
لمتابعة المزيد من الموضوعات الحصرية، تابعونا على تويتر وفيسبوك.
شاركنا رأيك بتعليق