كشفت كاسبرسكي عن نتائج جديدة بخصوص حملة تجسس إلكتروني معقدة شنتها إحدى مجموعات التهديدات السيبرانية المعروفة باسم «Evasive Panda». فقد استطاع المهاجمون تشغيل برمجيات خبيثة عبر حقنها في عمليات النظام المشروعة، وحافظوا على وجودها الخفي داخل الأنظمة المخترقة. ونشطت هذه العملية منذ شهر نوفمبر عام 2022 حتى نوفمبر عام 2024، واستهدفت أنظمة في دول متعددة مثل تركيا، والصين، والهند، وقد استمرت بعض حالات الاختراق لأكثر من عام. وتبرز هذه النتائج أساليب المجموعة المتطورة، وتشير إلى سعيها لاختراق الشبكات المستهدفة لمدة طويلة.

تستخدم هذه الهجمات وسائل خداع تُقدّم على أنها تحديثات شرعية لمجموعة من تطبيقات ويندوز الشائعة مثل SohuVA، وiQIYI Video، وIObit Smart Defrag، وTencent QQ. وقد صممت هذه التحديثات المزيفة لتندمج بشكل غير ملحوظ مع البرامج الموثوقة، وبذلك يتسنى للمهاجمين تنفيذ الأنشطة الخبيثة دون اكتشافهم مباشرة. ولجأ المهاجمون أيضًا إلى تقنية تسميم نظام أسماء النطاقات (DNS) لتوزيع مكوّن خبيث من أحد خوادمهم، وذلك على هيئة ملف يبدو وكأنه مخزّن في أحد مواقع التخزين الشائعة.

تعتمد هذه الهجمات على أداة الزرع القديمة MgBot، وهي إطار عمل للبرمجيات الخبيثة تستخدمه مجموعة Evasive Panda في عمليات التجسس الإلكتروني منذ عام 2012، وتضم هذه الأداة وحدات متعددة لتنفيذ أنشطة تجسسية مختلفة، من بينها تسجيل نقرات لوحة المفاتيح، واستخراج الملفات، وتنفيذ الأوامر عن بُعد. وخلال فترة الهجمات بين عامي 2022 و2024، جرى تحديث أداة MgBot بإعدادات جديدة تضمن استخدام خوادم متعددة للتحكم والسيطرة، وذلك لضمان استمرارية الاختراق وإطالة مدة الوصول إلى الأنظمة المخترقة. 

يعلق على هذه المسألة فاتح سنسوي، خبير أمني لدى كاسبرسكي: «هذه الحملة مثالٌ على محاولات المهاجمين للتملص من أنظمة الحماية، مع الاستعانة بأدوات قديمة مجربة مثل MgBot. فعلى مدار الحملة الممتدة لعامين، اتبع المهاجمون نهجاً متواصلاً كثيف الموارد، واستغلوا ثقة المستخدمين بالتطبيقات اليومية لترسيخ وجودهم داخل الأنظمة الحيوية. وما يلفت الانتباه في هذه الحملة اعتمادُ المهاجمين على استراتيجية نشر متكيفة، فخصصوا برمجيات الحقن الخبيثة لتناسب بيئات أنظمة التشغيل المحددة من طرف الخادم، مما سمح لهم بإجراء عمليات تجسس دقيقة للغاية. لذلك تحتاج المؤسسات إلى اتباع تدابير أمنية استباقية معتمدة على استخبارات التهديدات لمواجهة هذه الحملات المستمرة»

تدعو كاسبرسكي المؤسسات والمستخدمين الأفراد إلى الحذر من هذا التهديد وغيره من التهديدات السيبرانية المشابهة. كما توصي بالخطوات التالية بناء على نتائج تحقيقها في هذه الهجمات:

·     ينبغي على المؤسسات تفعيل المصادقة متعددة العوامل عند تحديث البرامج، وعليها استخدام أدوات الرصد والاكتشاف للنقاط الطرفية لفحص حزم التحديثات بحثاً عن أي خلل أو مشكلات مثل وجود ملفات في مواقع غير متوقعة، أو تشابه النص البرمجي مع قوالب برمجيات خبيثة معروفة. 

·     يجب على الشركات تحسين مراقبة الشبكة لرصد أي مؤشرات على «هجمات الخصم في المنتصف» (AitM)، فضلاً عن القيام بتدقيق دوري ومنتظم لاستجابات نظام أسماء النطاقات (DNS) وحركة البيانات عبر الشبكة بحثاً عن علامات التسميم أو اعتراض البيانات.

·     يتعين على المؤسسات تدريب الموظفين للتعرف على عمليات التصيد الاحتيالي التي تبدو على هيئة تحديثات من موردين موثوقين. 

·     ينبغي للمستخدمين إجراء عمليات فحص دورية للبرامج الخبيثة باستخدام حلول حماية مثبتة.

تتاح معلومات مفصلة عن الحملة في موقع Securelist.