مجرمو الإنترنت يستغلون أدوات مفتوحة المصدر لاختراق المؤسسات المالية في إفريقيا

سلّط باحثون في الأمن السيبراني الضوء على سلسلة من الهجمات الإلكترونية التي استهدفت المؤسسات المالية في إفريقيا منذ يوليو 2023 على الأقل، مستخدمة مزيجًا من الأدوات مفتوحة المصدر والأدوات المتاحة للعامة للحفاظ على الوصول إلى الأنظمة المصابة.

تتابع وحدة 42 التابعة لشركة Palo Alto Networks هذه الهجمات تحت الاسم الرمزي CL-CRI-1014، حيث تشير “CL” إلى “عنقود تهديد”، و**”CRI” إلى الدافع الإجرامي (Criminal Motivation)**.

ويُعتقد أن الهدف النهائي من هذه الهجمات هو الحصول على وصول أولي إلى شبكات المؤسسات ثم بيعه لمجرمين إلكترونيين آخرين في منتديات الجريمة على الإنترنت، مما يشير إلى أن المجموعة هي وسيط وصول أولي (IAB).

أدوات مشروعة تُستخدم في أنشطة خبيثة

قال الباحثان توم فاكرتمان وجاي ليفي:

“يقوم المهاجمون بتزوير توقيعات ملفات أدواتهم الخبيثة باستخدام توقيعات مأخوذة من تطبيقات شرعية، لإخفاء أنشطتهم والتلاعب بأنظمة الكشف.”

وتتميز الهجمات باستخدام أدوات مثل:

• PoshC2: للتحكم والسيطرة (Command & Control – C2)

• Chisel: لإنشاء أنفاق اتصال خبيثة وتجاوز الجدران النارية

• Classroom Spy: للوصول عن بُعد والتحكم الكامل بالأجهزة

سلسلة الهجوم

رغم أن طريقة الدخول الأولي غير واضحة، إلا أنه بمجرد الوصول إلى الشبكة، تم رصد سلسلة الهجوم التالية:

1. زرع وكيل MeshCentral

2. تثبيت Classroom Spy للتحكم بالجهاز

3. نشر Chisel لاختراق الجدران النارية

4. توزيع PoshC2 على الأجهزة التي تعمل بنظام ويندوز في الشبكة المصابة

تقنيات التمويه والبقاء

لإخفاء نشاطهم، استخدم المهاجمون رموز تطبيقات معروفة مثل Microsoft Teams، وPalo Alto Cortex، وVMware Tools.

أما وسائل الحفاظ على استمرارية PoshC2 في الأنظمة فشملت:

• إنشاء خدمة نظام جديدة

• إنشاء ملف اختصار (LNK) في مجلد التشغيل التلقائي

• إنشاء مهمة مجدولة باسم مزيف مثل “Palo Alto Cortex Services”

وفي بعض الحوادث، قام المهاجمون بسرقة بيانات اعتماد المستخدمين واستخدامها لإعداد وكيل (proxy) للتواصل مع خادم التحكم والسيطرة C2.

حوادث سابقة مرتبطة بـ PoshC2

لم تكن هذه المرة الأولى التي يُستخدم فيها PoshC2 في هجمات على المؤسسات المالية في إفريقيا. ففي سبتمبر 2022، كشفت شركة Check Point عن حملة تصيّد معروفة باسم DangerousSavanna استهدفت شركات مالية وتأمينية في ساحل العاج، المغرب، الكاميرون، السنغال، وتوغو، واستُخدمت فيها أدوات مثل Metasploit وDWservice وAsyncRAT إلى جانب PoshC2.

مجموعة فدية جديدة تُدعى Dire Wolf

في سياق منفصل، كشفت Trustwave SpiderLabs عن مجموعة فدية جديدة تُدعى Dire Wolf، أعلنت مسؤوليتها عن 16 هجومًا منذ ظهورها الشهر الماضي، شملت دولًا مثل:

• الولايات المتحدة

• تايلاند

• تايوان

• أستراليا

• البحرين

• كندا

• الهند

• إيطاليا

• بيرو

• سنغافورة

وتستهدف هذه المجموعة بشكل أساسي قطاعات التقنية، والصناعة، والخدمات المالية.

وقد أظهرت التحليلات أن أداة التشفير (locker) الخاصة بـ Dire Wolf مكتوبة بلغة Golang، وتتمتع بقدرات مثل:

• تعطيل سجلات النظام

• إيقاف خدمات وتطبيقات محددة (75 خدمة و59 تطبيقًا)

• حذف النسخ الاحتياطية الظلية (shadow copies) لمنع الاسترداد

وقالت الشركة:

“رغم عدم توفر معلومات دقيقة حول أساليب الوصول الأولي أو التحرك داخل الشبكات، إلا أن على المؤسسات تطبيق أفضل ممارسات الأمان ومراقبة التقنيات التي تم رصدها ضمن هذا التحليل.”