تستمر هجمات نوع التهديد المستمر المتقدم (APT) في الظهور على نطاق عالمي. إن ما يجعل هذه الهجمات تنحرف عن القاعدة هو في الغالب الموارد اللازمة لتطويرها وتنفيذها: الوقت والمال والمعرفة المطلوبة لإنشاء أجزاء مخصصة من البرمجيات الخبيثة لتنفيذ هجمات محددة وموجهة.
عملية لوتس بلوسوم هي واحدة من أحدث هجمات APT التي تم اكتشافها وتحليلها. إنها حملة خصومات متقدمة ضد الكيانات الحكومية والمدعومة بالدرجة الأولى في الفلبين ، وهونج كونج ، وفيتنام ، وإندونيسيا.
ويعتقد أن هذه المجموعة نفذت الهجوم للحصول على ميزة جيوسياسية بسرقة معلومات محددة من المؤسسات الحكومية والعسكرية في تلك المنطقة.
في هذه المرحلة ، لا يزال من السابق لأوانه معرفة ما إذا كان امتداد الهجوم سيمتد إلى القطاع الخاص (لا ستوكسنيت ودووك).
كيف يعمل الهجوم؟
وقد وجد أن عملية لوتس بلوسوم كانت تتضمن مجموعة أدوات خبيثة مبنية حسب الطلب قام المؤلفون بتسمية إيليز عليها. تم تصميم هذه القطعة من البرامج الضارة مع بعض الوظائف الفريدة ، بما في ذلك القدرة على:
- التهرب من الكشف عن وضع الحماية
- الاتصال بالخوادم والتحكم فيها
- الترشيح للبيانات
- تقديم حمولات ضارة للمرحلة الثانية
وكما رأينا في حالة العديد من مجموعات التجسس السيبرانية المتقدمة ، فإنها تبدأ برسالة بريد إلكتروني تصيد الاحتيال. يحتوي البريد الإلكتروني على معلومات موثوقة جدًا وقابلة للتطبيق على الأهداف الحكومية أو العسكرية. على سبيل المثال ، تستخدم أشياء مثل القوائم العسكرية التي تتوقع الأهداف رؤيتها. بمجرد أن يرى الضحية البريد الإلكتروني ويفتح المرفق ، يتم تقديم مستند شرك يبدو أنه مشروع ، ولكن ما يحدث بالفعل هو أن يتم فتح باب خلفي ويتم تثبيت برامج ضارة على جهاز الضحية. وهذا يمنح المهاجم قاعدة عمليات لإجراء استطلاع إضافي للشبكة ، والتنازل عن الأنظمة الجديدة ، فضلاً عن تقديم برامج خبيثة من المرحلة الثانية أو تسريب البيانات.
أثر عليك
- أي برامج ضارة تم تثبيتها على شبكتك تضعك في خطر الحل الوسط ، خصوصًا تلك المصممة لسرقة البيانات
- وبمجرد تثبيتها ، يمكن أن تصيب Elise الأجهزة الأخرى وتستمر في تقديم تنويعات البرامج الضارة الإضافية حسب الحاجة
- تم تصميم Elise خصيصًا لسرقة البيانات ، مما يعرضك أنت والمعلومات الحساسة لعملائك للخطر
كيف مساعدة AlienVault
تستمر مختبرات AlienVault في إجراء أبحاث متطورة حول تهديدات كهذه ، وجمع كميات كبيرة من البيانات ، ثم إنشاء معلومات استخبارية من خبراء التهديدات نتيجة لذلك.
أصدر فريق Labs بالفعل توقيعات IDS وقاعدة ارتباط إلى النظام الأساسي لـ AlienVault USM حتى يتمكن العملاء من اكتشاف النشاط من Elise. تعرف على المزيد حول تحديث معلومات التهديد هذا وآخرون في منتدانا .
يساعدك النظام الأساسي لإدارة الأمان (USM) على فحص الشبكة الخاصة بك لتحديد الأصول التي يمكن أن تكون مصابة ببرامج Elise الخبيثة ، مما يجعل من السهل عليك تحديد أولويات الجهود وتحديد الأنظمة التي تحتاج إلى المعالجة أولاً بسرعة.
لا يمكنها فقط تعريف الأنظمة الضعيفة ، ولكنها يمكن أن تساعدك أيضًا في اكتشاف محاولات استغلال الثغرة الأمنية.
تعرف على المزيد حول AlienVault USM: