تكتيكات وتقنيات وإجراءات APT35: كيفية عملها وكيفية حماية Windows

  • تتميز APT35 بقدرتها على التصيد الاحتيالي الموثوق وسرقة بيانات الاعتماد والاستمرار على نظام التشغيل Windows.
  • تجمع الهجمات المتقدمة المستمرة بين التطفل والحركة الجانبية والتسلل المخفي مع القيادة والسيطرة الخفية.
  • تعد EDR/XDR والتجزئة والتصحيح وقياس الشبكة/نقطة النهاية حواجز حرجة.
Pablo

11 دقيقة

APT35 الأمن السيبراني على Windows

في مشهد التهديدات اليوم، لا يوجد سوى عدد قليل من الخصوم الذين يتمتعون بالمثابرة والتسلل مثل APT35. هذا الممثل، المعروف أيضًا باسم Helix Kitten أو Charming Kittenاكتسبت [اسم الشركة] سمعة طيبة بفضل حملات التصيد الاحتيالي الموجهة، المدروسة جيدًا، وسرقة الهوية، والثبات طويل الأمد في بيئات الشركات. إذا كنت تعمل بنظام Windows في مؤسسة، فإن فهم أساليبه وتقنياته وإجراءاته (TTPs) أمرٌ أساسيٌّ لضمان [الأمن التشغيلي]. تقليل سطح الهجوم والرد في الوقت المناسب.

ورغم أن التهديدات المستمرة المتقدمة غالباً ما يُنظر إليها على أنها هجمات "شبيهة بالأفلام"، فإنها ليست خيالاً علمياً. إنها عمليات منهجية ومتعددة المستويات وصبورةصُممت هذه الهجمات للتسلل، والبقاء دون أن تُكتشف، واستخراج بيانات قيّمة في اللحظة المناسبة. وينطبق هذا الوصف على APT35: حملات تصيد احتيالي مُوجّهة، وبنية تحتية مُموّهة للقيادة والتحكم، وقدرة قوية على تكييف أساليبها مع تعزيز الضحية لدفاعاتها.

ما هو APT ولماذا يشكل APT35 مصدر قلق خاص لنظام Windows؟

التهديد المستمر المتقدم هو هجوم طويل الأمد حيث يقوم الخصم يحصل على وصول غير مصرح به ويحافظ عليه سريًا لسرقة المعلومات، أو مراقبة العمليات، أو التسبب في تعطيلها عندما يناسبها ذلك. على عكس البرمجيات الخبيثة "الجماعية"، لا تعمل مجموعات التهديدات المتقدمة المستمرة (APT) بشكل جماعي؛ بل تستهدف أهدافًا محددة وتتعرف على بيئتها قبل التحرك.

على نظام Windows، غالبًا ما يفتح APT35 الباب باستخدام الهندسة الاجتماعية: رسائل البريد الإلكتروني الاحتيالية المصممة بدقةصفحات بيانات الاعتماد المستنسخةدعوات وهمية لحضور مؤتمرات أو فعاليات أكاديمية، وعمليات احتيال تخدع الضحية لتشغيل برمجيات أو تسليم رموز. بمجرد دخولها، ينصب التركيز على الاستمرارية: الثغرات الأمنية، وإساءة استخدام بيانات الاعتماد، والتحرك الجانبي الخفي.

من يقف وراء APT وكيف تتمركز APT35؟

عادةً ما تكون هجمات التهديدات المتقدمة المستمرة مدعومة من قبل جهات منظمة بشكل جيد. يمكننا التمييز بين ثلاث كتل رئيسيةمجموعات ترعاها الدولة، وعصابات الجريمة المنظمة، وجماعات القرصنة الإلكترونية. APT35، المرتبطة بمصالح إيرانية، وفقًا لعدة محللين، تستهدف قطاعات مثل الفضاء، والاتصالات، والمالية، والطاقة، والكيماويات، والضيافة، لتحقيق أهداف اقتصادية وعسكرية وسياسية.

ومن بين المجموعات التي تديرها الدولة، تبرز بعض الحالات المعروفة: لازاروس (كوريا الشمالية)، متورطًا في السرقات المالية والعمليات مثل حادثة سوني؛ APT28/Fancy Bear وAPT29/Cozy Bear (روسيا)مع حملات ضد الأهداف الحكومية والدبلوماسية والانتخابية؛ و APT40، المرتبطة بالتجسس الإلكتروني الذي يستهدف الجامعات والدفاع. توضح هذه العمليات مدى تخطيط التهديدات المتقدمة المستمرة.

في الجريمة المنظمة، الربح المالي هو الملك. كارباناك/فين7 هاجم القطاع المصرفي والتجزئة؛ الجانب المظلم اشتهر بحادثة خط أنابيب كولونيال. أما الهاكتيفيون، فهم يعملون بدوافع أيديولوجية أو سياسية: مجهول أو الجيش السوري الالكتروني هذه أمثلة على أعمال الاحتجاج والدعاية ذات التأثير الحقيقي.

هؤلاء الخصوم، بما في ذلك أولئك المرتبطون بالدول، إنهم يسعون إلى الربح أو الميزة الاستراتيجية من خلال سرقة الملكية الفكرية، أو الابتزاز (برامج الفدية)، أو الوصول إلى الأنظمة الحيوية.

كيفية عملها: التكتيكات والتقنيات والإجراءات الرئيسية

يجمع APT النموذجي بين عدة طبقات: التسلل والتسلق والحركة الجانبية والتسربأثناء الاختراق، تستغل APT35 نفسية المستخدم لإجباره على النقرة الأولى، وإن أمكن، تتسلل إلى الأنظمة باستخدام ثغرات أمنية أو برامج غير مُرقعة. على نظام ويندوز، من الشائع رؤية وحدات ماكرو ضارة في المستندات، وروابط لصفحات تسجيل دخول مزيفة، واستخدام أدوات النظام للتخفي.

بمجرد دخوله، يقوم المهاجم بإنشاء اتصال مع البنية التحتية للقيادة والتحكم (C2) الخاصة به. يمكن إخفاء هذا الاتصال على أنه حركة مرور شرعية.من طلبات HTTP(S) البسيطة إلى قنوات أكثر إبداعًا تدعمها الخدمات العامة (كانت هناك أساليب وتقنيات وتقنيات معالجة تُسيء استخدام شبكات التواصل الاجتماعي أو مستندات السحابة). مع استقرار الاتصالات، يبدأ اكتشاف الأصول والتحرك الجانبي.

يجب على المدافعين أن يضعوا في اعتبارهم أن التهديدات المتطورة المستمرة الحديثة الاستفادة من أطر وأدوات ما بعد الاستغلال العامة (على سبيل المثال، أطر العمل المعروفة)، وكذلك المكونات المصممة خصيصًا. أحيانًا، يُحمّل المهاجمون الشيفرة البرمجية في الذاكرة لتجنب ترك أثر على القرص، ويعتمدون على تقنيات مثل التحميل الجانبي لملفات DLL.

في عملية الاستخلاص، تخرج البيانات على شكل قطرات أو دفعات، مُقنعة بضوضاء الشبكة أو مُغلَّفة (ملفات مضغوطة، بروتوكولات شائعة، قنوات سرية). إذا اكتشف الضحية شيئًا ما، يُمكن لـ APT توليد عمليات تشتيت، مثل هجوم DDoS، لإخفاء التسريب الحقيقي.

مراحل هجوم APT خطوة بخطوة

  1. اعترافيجمعون عناوين البريد الإلكتروني، والملفات الشخصية العامة، والتقنيات المستخدمة (التي تُكشف أحيانًا في إعلانات الوظائف)، وأي تفاصيل أخرى مفيدة. إنها مرحلة صامتة للمدافع.
  2. تطفلالتصيد الاحتيالي بالرمح استغلال الثغرات الأمنيةقد تُشكّل كلمات المرور الضعيفة أو البرامج الضارة المُضمّنة في المستندات خطرًا كبيرًا. في نظام ويندوز، غالبًا ما يكفي فتح ملف مرفق "خاطئ" لتنفيذ التعليمات البرمجية.
  3. سرقة الهويةيقومون بالبحث عن بيانات اعتماد صالحة (ملفات تعريف الارتباط، والرموز، وكلمات المرور) ويقومون بالوصول إلى عشرات الأنظمة باستخدام هوية المستخدمين الشرعيين. التهرب من الضوابط القائمة على التوقيع.
  4. تثبيت المرافقإنها تتضمن أدوات للإدارة السرية، وسرقة كلمات المرور، والمراقبة، والمزيد. غرسة صغيرة أو نص صغير يمكن أن يكون بمثابة نقطة انطلاق لأحمال أكبر.
  5. الأبواب الخلفية والامتيازاتيُنشئون أبوابًا خلفية، أو حسابات مخفية، أو يُعدّلون الإعدادات. إذا حصلوا على بيانات اعتماد مسؤول النطاق، إنهم يحملون مفاتيح المملكة التحرك جانبياً.
  6. الترشيحيقومون بتجميع رسائل البريد الإلكتروني والملفات وقواعد البيانات إلى خوادم وسيطة أو تخزين سحابي، باستخدام HTTP/FTP أو قنوات أخرى. يمكنهم أيضًا إساءة استخدام أنفاق DNS إذا سمحت البيئة بذلك.
  7. إصرارحتى بعد الكشف الجزئي، فإنهم يحاولون البقاء. إن هذا العناد هو السمة المميزة لـ APT.، مع إقامات لعدة أشهر.

مؤشرات وعلامات وجود هجوم متقدم مستمر

ذروة حركة المرور أو تدفقات غير عادية من المعدات الداخلية إلى الخارج هذه علامات تحذير. وبالمثل، فإن تسجيل الدخول خارج ساعات العمل أو من مواقع غير مألوفة يُشير إلى اختراق بيانات الاعتماد.

ال الإصابات المتكررة بالبرامج الضارة إن إعادة فتح الأبواب الخلفية وظهورها مجددًا بعد عمليات التنظيف يدل على استمرارها. علاوة على ذلك، في حال ظهور ملفات كبيرة أو مضغوطة بصيغ نادرًا ما تستخدمها الشركة، فإن التحقيق ضروري.

رسائل البريد الإلكتروني غير العادية التي يتلقاها المديرون التنفيذيون أو الموظفون الحساسون، والتي تعد نموذجية لعمليات التصيد الاحتيالي، إنها عادة ما تكون الخطوة الأولى في سلسلة APTدليل آخر: نشاط غير طبيعي في قواعد البيانات ذات العمليات ذات الحجم الكبير.

يقوم بعض مقدمي الخدمة بتسجيل المكان الذي تم فتح البريد الإلكتروني منه أو عنوان IP؛ ومراقبة الوصول غير المعتاد أو اعتراض المراسلات يمكن أن يشير إلى [شيء ما]. المتسللون يراجعون الاتصالاتعلى مستوى نقطة النهاية، يستكشف المهاجم السياسات وثغرات الامتثال لاستغلال نقاط الضعف.

أنواع APT حسب الأهداف والأمثلة التوضيحية

  • التخريب أو التعطيلعمليات معقدة للغاية تتلاعب بالعمليات الصناعية دون تنبيه الضحية. الحالة النموذجية: ستكسنت، مما أثر على أجهزة الطرد المركزي الإيرانية.
  • ابتزاز:الحملات التي تهدف إلى تحقيق مكاسب مالية، مثل حملات الفدية. ريوك وقد تميزت هذه البرمجية بالهجمات المستهدفة التي تقوم بتشفير الأصول الهامة وتطلب فدية عالية.
  • التسلل والتسربالهدف هو الحفاظ على البيانات واستخراجها باستمرار. وقد نُسبت الحملات إلى APT32 y APT37 للتجسس الاقتصادي والسياسي.
  • الموردينيلتزم الموردون بالوصول إلى عملائهم. وكان المثال الإعلامي سولارويندز (منسوبة في المنتديات إلى APT29)، و NotPetya انتشر الفيروس عبر تحديث مخترق، مما تسبب في أضرار عالمية.

حالات واقعية تعلمنا دروسًا

الهجوم على الهدف باستخدام مكشطة ذاكرة الوصول العشوائي استغلّ ضعف أحد المورّدين للوصول إلى نظامه البيئي. تسلّل الفاعل إلى أجهزة نقاط البيع لأسابيع، وسرق بيانات بطاقات الائتمان و استخراج كميات هائلة في وقت واحد.

اكتشف الباحثون حملات قامت بها مجموعة فرعية من لازاروس الذي قام بتعديل برنامج DTrack الخبيث المعروف واستخدم برنامج Maui ransomware. تم تنفيذ الأحمال في الذاكرة على نظام التشغيل Windowsقام DTrack بجمع بيانات النظام وسجل المتصفح، وكان وقت الانتظار أشهرًا.

لاكي ماوس تم نشر متغير حصان طروادة لخدمة الرسائل Mimi للأبواب الخلفية ضد أنظمة macOS وWindows وLinux، إشراك المنظمات في تايوان والفلبينإنه يوضح التوافق بين الأنظمة الأساسية النموذجي لـ APT.

المجموعة سيبورجيوم، المرتبط بالمصالح الروسية، قام بالتجسس في أوروبا لسنوات، إساءة استخدام التصيد الاحتيالي للوصول إلى OneDrive وLinkedInيؤدي استغلال الخدمات السحابية المشروعة إلى تعقيد عملية الكشف.

الاتجاهات الحديثة في TTP: ما الذي يتغير وما الذي لا يتغير

خلال الربع الصيفي الأخير، لاحظ المحللون اختلافات واضحة بين اللاعبين: البعض لقد طوروا مجموعة أدواتهم نحو الأطر المعيارية مثابرة للغاية، في حين حقق آخرون أهدافهم بسلاسل عدوى طويلة الأمد، مما يدل على أن "البساطة والمجربة" لا تزال تعمل.

كان أحد النتائج الأكثر إثارة للدهشة هو العدوى من خلال مجموعة أدوات التمهيد UEFI، وهو جزء من إطار عمل تدريجي يُعرف باسم Mosaic Regressor، والذي جعل الغرسة متينة للغاية ويصعب إزالتها. UEFI أمر بالغ الأهميةيؤدي إصابته إلى استمراره أسفل نظام التشغيل.

وقد شوهدوا أيضا تقنيات التضليل مع التحميل الجانبي: استخدمت حملة منسوبة إلى Ke3chang إصدارًا من الباب الخلفي Okrum الذي استغل ملفًا ثنائيًا موقّعًا من Windows Defender لإخفاء الحمولة الرئيسية، الحفاظ على توقيع رقمي صالح للتقليل من الكشف.

مجموعات أخرى، مثل المياه الموحلةلقد قاموا بتكرار الأطر متعددة المراحل، في حين دي تراك لقد أدرجت قدرات جديدة لتنفيذ أنواع أكثر من الحمولات. وبالتوازي مع ذلك، مطارد الموت إنها تحافظ على سلاسل بسيطة ولكنها شديدة التركيز مصممة للتهرب من الاكتشاف، مما يدل على أن التطور ليس ضروريًا دائمًا للنجاح.

APT35 في دائرة الضوء: TTPs والأهداف المميزة

APT35 معروف بـ رسائل البريد الإلكتروني الاحتيالية عالية المصداقية والوثائق المزيفة تُحاكي الدعوات الأكاديمية أو المراسلات الصادرة عن المؤسسات. من الشائع رؤية عمليات انتحال تسجيل الدخول، وإساءة استخدام الروابط المختصرة، وصفحات جمع بيانات الاعتماد بمظهر مثالي.

في Windows، تميل هذه المجموعة إلى الاعتماد على البرامج النصية والأدوات الأصلية لتجنب الكشف، أنشئ مركز القيادة والتحكم (C2) وتحرك بشكل جانبي. مزيج من الهندسة الاجتماعية والاستغلال الانتهازي للبرامج غير المرقعة. يوضح معدل نجاحه المرتفع بدون ضوابط سلوكية وتجزئة كافية.

كيفية حماية Windows ضد APT35 وAPTs الأخرى

EDR وXDR. الحلول الحديثة تكتشف السلوك الشاذ في الوقت الحقيقيإنها توفر قياس عن بعد للعملية والشبكة والذاكرة، وتسمح بالاستجابة السريعة (عزل المعدات، وقتل العمليات، وعكس التغييرات).

الترقيع والتصلب. تحديث Windows، المتصفحات ومجموعات المكاتبإنه يطبق قواعد تقليل مساحة السطح، ويضع حدودًا لـ PowerShell، ويعطل وحدات الماكرو بشكل افتراضي، ويتحكم في تنفيذ الثنائيات غير الموقعة.

التحكم في التطبيقات والمجال. القائمة المسموح بها يقلل من المخاطرلكن الأمر يتطلب سياسات تحديث صارمة ومراجعة مستمرة: حتى المجالات "الموثوقة" يمكن أن تتعرض للاختراق.

أمان WAF والتطبيقات. جدار حماية تطبيقات الويب يساعد على عزل الهجمات على طبقة التطبيق وإيقاف محاولات حقن RFI أو SQL؛ ويكشف مراقبة حركة المرور الداخلية عن أنماط غير عادية.

الوصول وحوكمة البيانات. تقسيم الشبكة، وتطبيق أقل الامتيازاتيُعزز المصادقة متعددة العوامل (MFA) ويراقب الوصول إلى الموارد الحساسة. كما يُتحكم في مشاركة الملفات ويحظر الأجهزة القابلة للإزالة إن أمكن.

القياس عن بعد وDNS. راقب الأنماط التي تشير إلى أنفاق DNS أو طرق التسرب السرية الأخرى؛ تنشئ تنبيهات حول الضغط غير المعتاد وحجم كبير من حركة البيانات.

الوعي، ولكن دون إيمان أعمى. التدريب يُساعد. على الرغم من أن الموظفين المدربين يمكن أن يسقطواويتم استكماله بعناصر التحكم الفنية وقوائم المراقبة واكتشاف السلوك.

كيفية الاستجابة: من الإشارة الأولى إلى التحسين المستمر

  • التعريف والتقييم. استخدم أدوات المراقبة والتحليل الجنائي المتقدمة للأحداث والملفات. يُحدد النطاق الفعلي والمتجهات والحسابات المتأثرة من خلال مراجعة السجلات والقطع الأثرية.
  • الاحتواء. عزل الأنظمة المخترقةألغِ الجلسات والرموز، وغيّرِ بيانات الاعتماد، وجزّئ الجهاز فورًا. امنع المهاجم من الاستمرار في التحرك أو التسلل.
  • الاستئصال والتعافي. إزالة أدوات الهجوم وإصلاح الثغرات الأمنية y استعادة من النسخ الاحتياطية المعروفة كما هو. حافظ على مراقبة معززة للكشف عن أي نشاط متبقٍ.
  • التحليل والتحسين. توثيق الحادث وتحديث السياساتعدّل قواعد الكشف وتواصل بشفافية مع الجهات المعنية. هذه المرحلة تُخفّض تكلفة الخروقات المستقبلية.

الأدوات والذكاء: ما الذي يصنع الفارق؟

الأساليب القائمة على الذكاء الاصطناعي التي تكتشف البرامج الضارة وملفات الفدية الثنائية قبل التنفيذ، خدمات البحث الاستباقي عن التهديدات إن تعزيز مركز العمليات الأمنية بشكل يومي من خلال الاستجابة السريعة للتهديدات الإرهابية هي عوامل أساسية للبقاء في صدارة التكتيكات والأساليب والتكتيكات الناشئة.

بوابات استخبارات التهديدات مع إمكانية الوصول إلى معلومات تقنية وسياقية في الوقت الفعلي تقريبًا تتيح لك هذه الحلول توقع الحملات وتحديث الاكتشافات وتعبئة قوائم المراقبة. كما أنها تُكمّل حلول EDR/XDR على نقاط النهاية وأجهزة استشعار الشبكة لتوفير تغطية شاملة.

علامات شائعة تشير إلى وجود اختراق في نظام التشغيل Windows والتي لا يجب عليك تجاهلها

  • تسجيلات دخول عالية بعد ساعات العمل وفي الحسابات ذات الامتيازات العالية؛ الارتباط بين ارتفاع البيانات والوصول عن بعد.
  • الجهات الفاعلة المتكررة أو ظهور الأبواب الخلفية مرة أخرى:استنساخات طروادة التي تعود بعد عملية "التنظيف" المفترضة.
  • اعتراض البريد أو عمليات تسجيل دخول غريبة إلى صناديق البريد الإلكتروني؛ أو عمليات التصيد الاحتيالي الموجهة التي تستهدف على وجه التحديد المديرين التنفيذيين أو الإدارات المالية.
  • حالات شاذة أخرى: بطء غير عادي في الخادم، أو تغييرات في السجلات، أو إنشاء حسابات غير معروفة، أو خدمات غريبة عند بدء التشغيل.

التكاليف والدوافع: لماذا لا تحتاج APT إلى ميزانية كبيرة

على الرغم من أنه قد يفاجئك، يمكن أن تكون تكلفة تشغيل بعض حملات APT متواضعة.تشكل أدوات اختبار الاختراق التجارية وبعض خدمات البنية التحتية جزءًا كبيرًا من الإنفاق، ولكن العائد للمهاجم (اقتصادي أو استراتيجي) يبرر الاستثمار عادةً.

الأسئلة الشائعة

  • ما هو الفرق بين APT و "الهجوم المستهدف المتقدم" (ATA)؟ عمليًا، يصف مصطلح "التهديد المتطور المتقدم" (ATA) المنهجية التي تتبعها المجموعات الراسخة؛ وعندما يكون هذا النشاط مستدامًا، مع استمرارية وتكيف مستمرين، فإننا نتحدث عن "التهديد المتطور المتقدم". وتتميز هذه المجموعات بالتكتيكات، والبنية التحتية، وإعادة استخدام الكود، ونوع الأهداف.
  • ما هي الأهداف النموذجية وطريقة عمل APT35؟ إنهم يميلون إلى استهداف القطاعات الاستراتيجية والأوساط الأكاديمية، مع تصيد احتيالي موثوق للغاية، وسرقة بيانات الاعتماد، وإساءة استخدام الخدمات السحابية والاستمرار في نظام التشغيل Windows باستخدام أدوات أصلية وC2 مقنعة.
  • كيف يمكنني اكتشاف التهديد المستمر المتقدم (APT) إذا كان لا يترك أي أثر تقريبًا؟ البحث سلوكيات غير طبيعية: عمليات تسجيل دخول غير نمطية، وملفات مضغوطة كبيرة، وحركة مرور خارجية غريبة، وعمليات تبدأ اتصالات غير عادية، وتكرار ظهور البرامج الضارة بعد التنظيف.
  • هل مكافحة الفيروسات والتدريب كافيتان؟ رقم تحتاج إلى EDR/XDR، والقياس عن بعد، والتجزئةالتحكم في التطبيقات والاستجابة المُنسَّقة. الوعي يُساعد، لكن الأتمتة والوضوح أساسيان.

يتطلب تعزيز نظام التشغيل Windows ضد APT35 وغيره من التهديدات المتقدمة المستمرة الجمع بين المراقبة والتكنولوجيا والعمليات. بفضل عناصر التحكم القوية في الوصول، وEDR/XDR، وذكاء التهديدات، والاستجابة الجيدةيمكنك تقليل نافذة الفرصة أمام الخصم بشكل كبير وتقليل التأثير حتى عندما يحصل على النقرة الأولى.

المادة ذات الصلة:
دليل كامل لإنشاء نسخ احتياطية متزايدة في Windows