في عالم الأمن السيبراني المتغير بسرعة، تتفاعل التهديدات الإلكترونية الجديدة مع التكنولوجيا بطرق معقدة ومتطورة. في هذا السياق، تم اكتشاف ممثل تهديد ناشئ معروف باسم “Coquettte” يستغل خدمات استضافة غير قابلة للإيقاف (Bulletproof Hosting) روسية تدعى Proton66، مما يبرز التحديات المستمرة التي تواجهها الشركات والأفراد في تأمين معلوماتهم الرقمية.

تحليل مفصل وسياق تاريخي

وفقًا لتقارير من شركة DomainTools، تم تحديد نشاط Coquettte بعد اكتشاف موقع ويب وهمي يُدعى cybersecureprotect[.]com، والذي تم تصميمه ليبدو كخدمة مضاد فيروسات شرعية ولكنه في الواقع يُستخدم لتوزيع برمجيات خبيثة. هذا النشاط يكشف عن ثغرة أمنية في عمليات Coquettte أظهرت البنية التحتية الخبيثة التي يستخدمها.

Proton66، الذي يرتبط أيضًا بخدمة استضافة غير قابلة للإيقاف أخرى تُعرف باسم PROSPERO، قد تم ربطه بحملات متعددة لتوزيع برمجيات خبيثة على أجهزة الكمبيوتر والهواتف الذكية التي تعمل بنظام أندرويد مثل GootLoader وMatanbuchus وSpyNote وCoper (المعروف أيضًا باسم Octo) وSocGholish. يتم استضافة صفحات التصيد على هذه الخدمة وتوزيعها عبر رسائل نصية (SMS) لخداع المستخدمين في إدخال بياناتهم البنكية ومعلومات بطاقاتهم الائتمانية.

التأثير والآثار الأمنية

يمثل استخدام Coquettte للبنية التحتية لـ Proton66 تهديدًا كبيرًا للشركات والأفراد على حد سواء. من خلال التظاهر كأدوات أمان شرعية، يستطيع Coquettte توزيع برمجيات خبيثة مخفية في أرشيفات ZIP مثل “CyberSecure Pro.zip” التي تحتوي على مثبت Windows يقوم بتنزيل برمجيات خبيثة من مرحلة ثانية من خادم بعيد يُعرف بخادم القيادة والسيطرة (C2) (“cia[.]tf”).

المرحلة الثانية تتضمن أداة تحميل تُصنف على أنها Rugmi (المعروفة أيضًا باسم Penguish)، والتي تم استخدامها في السابق لنشر برامج سرقة المعلومات مثل Lumma وVidar وRaccoon.

رؤى الخبراء وتوسيع الفهم

تكشف البصمات الرقمية لـ Coquettte عن موقع شخصي يدعي فيه أنه “مهندس برمجيات يبلغ من العمر 19 عامًا ويدرس تطوير البرمجيات”. هذا، إلى جانب تسجيل المجال cia[.]tf باستخدام عنوان البريد الإلكتروني “root@coquettte[.]com”، يؤكد أن الممثل التهديد يسيطر على خادم C2 ويدير الموقع المزيف كمنصة لتوزيع البرمجيات الخبيثة.

تشير هذه المعطيات إلى أن Coquettte ربما يكون شابًا، وربما طالبًا، وهو ما يتماشى مع الأخطاء الهواة (مثل الدليل المفتوح) في جهوده الإجرامية السيبرانية. لم تقتصر أنشطة الممثل التهديد على البرمجيات الخبيثة، بل قام أيضًا بتشغيل مواقع أخرى تبيع أدلة لصنع مواد غير قانونية وأسلحة. يُعتقد أن Coquettte مرتبط بشكل فضفاض بمجموعة اختراق أوسع تُعرف باسم Horrid.

تشير البنية التحتية المتداخلة إلى أن الأفراد الذين يقفون وراء هذه المواقع قد يطلقون على أنفسهم اسم “Horrid”، مع كون Coquettte اسمًا مستعارًا لأحد الأعضاء بدلاً من كونه فردًا وحيدًا. تشير علاقة المجموعة بالعديد من المجالات المرتبطة بالجرائم الإلكترونية والمحتوى الغير قانوني إلى أنها تعمل كحاضنة للمجرمين السيبرانيين الناشئين أو الهواة، مما يوفر الموارد والبنية التحتية لأولئك الذين يتطلعون إلى تأسيس أنفسهم في دوائر الاختراق السرية.

دعوة للنقاش

مع تصاعد التهديدات الإلكترونية وتطورها، كيف يمكن للمؤسسات تحسين دفاعاتها ضد مثل هذه الهجمات المتطورة؟ وما هي الخطوات التي يمكن اتخاذها لتثقيف الشباب والحد من انجذابهم إلى الأنشطة الإجرامية السيبرانية؟ شاركوا آرائكم عبر تويتر وفيسبوك.