كشف خبراء أمن المعلومات عن حملة سيبرانية خبيثة جديدة ومتقدمة أُطلق عليها اسم StrikeShark، واستهدفت عددًا من المؤسسات حول العالم من بينها جهات دبلوماسية في إندونيسيا، وهيئات حكومية في تايوان، إلى جانب شركات لتطوير البرمجيات ومؤسسات أخرى في هونغ كونغ ولبنان، وسوريا، وكولومبيا، ومقدونيا الشمالية، ونيبال، وصربيا. 

تحميل برمجيات خبيثة 

ويستخدم المهاجمون في هذه الحملة أداة تحميل برمجيات خبيثة جديدة وغير موثقة سابقًا تُدعى SharkLoader للتسلل إلى الأنظمة المستهدفة، ولا تربط كاسبرسكي هذه الحملة حاليًا بأي جهة مختصة في التهديدات المستعصية المتقدمة تم معرفتها سابقًا، مع استمرارها في رصد النشاط المرتبط بها.

خلال الحملة تنوعت الأساليب التي استخدمها المهاجمون للوصول الأولي إلى الأنظمة المستهدفة، حيث شملت استغلال ثغرات في تطبيقات متاحة عبر الإنترنت، مثل Microsoft Exchange، وMicrosoft SharePoint، وخوادم Openfire.

 وفي حالات أخرى، عمد المهاجمون إلى نشر أدوات خبيثة متنكرة في صورة برامج موثوقة مثل Google Update وCisco AnyConnect. كما كشفت بعض العينات المحللة عن استخدام ملفات PDF كوسيلة لخداع المستخدمين، وحثهم على تثبيت البرمجيات الخبيثة على أجهزتهم دون علمهم. 

ويبرز المستوى العالي من التعقيد التقني في SharkLoader مدى تطور تصميم هذه البرمجية الخبيثة واعتمادها على أساليب متقدمة للهجوم. فبعد اختراق الجهاز، تستخدم البرمجية تقنية DLL Side-Loading في عدد من تطبيقات ويندوز الموثوقة لتحميل وحدات خبيثة مشفرة.

 وتتولى هذه الوحدات لاحقًا فك تشفير مكونات إضافية وتحميلها، حيث تُستخدم لتثبيت API Hooks بغرض تفادي أنظمة الكشف الأمنية، قبل أن تقوم بحقن أداة Cobalt Strike Beacon وتشغيلها. وتُستخدم هذه الأداة، التي طُورت أساسًا لاختبارات الأمن السيبراني، بشكل متكرر من قبل المهاجمين لأغراض التحكم والسيطرة، وجمع المعلومات، والتحرك داخل الشبكات المخترقة، وسرقة البيانات.

أكد  فريد راضي، الباحث الأمني في فريق البحث والتحليل العالمي تعكس حملة StrikeShark طبيعة التهديدات الحديثة التي باتت تعتمد على الدمج بين أدوات هجومية متاحة للجميع، وبرمجيات خبيثة مخصصة، وأساليب متطورة لتجاوز أنظمة الحماية.

 ويؤكد توظيف وسائل خداع تبدو قانونية واستغلال ثغرات معروفة ضرورة التزام المؤسسات بإدارة صارمة للتحديثات الأمنية، وتبني حلول متقدمة للكشف والاستجابة للتهديدات السيبرانية على مستوى الأجهزة الطرفية، وتكثيف برامج التدريب والتوعية الأمنية للموظفين.