مجموعة إجرامية تنشر برمجية خبيثة متخصصة فى التسلل إلى مستندات التسليم
كتبت اسماء محمودميدانيحذرت شركة «بالو ألتو نت وركس» من أنشطة مجموعة التهديد Oil Rig، التى تقف وراء عدد من الهجمات الإلكترونية الخبيثة التى بدأت منذ شهر مايو 2016. ومن التقنيات التى تتبعها الشركة برصدها لأنشطة مجموعة التهديد هذه استخدامها مستند التسليم Clayslide كملفات مرفقة مع رسائل البريد الإلكترونى، وذلك بهدف قرصنة رسائل البريد الإلكترونى أثناء الهجمات، منذ شهر مايو 2016. وقالت الشركة إنها لاحظت مؤخراً ظهور نسخة جديدة من مستند التسليم «كلايسليد» تستخدم من أجل تحميل إصدار جديد ومتخصص من البرمجية الخبيثة (تروجان)، يطلق عليه مبتكره اسم «ALMA Communicator». ويحتفظ مستند التسليم هذا أيضاً بأداة جمع حسابات وبيانات الاعتماد، التى تتم بعد نجاح عملية التسلل، والتى يطلق عليها اسم Mimikatz، التى يعتقد بأن الجهات المهددة ستستعين بها من أجل جمع بيانات وحسابات الاعتماد من النظام المستهدف. ولدينا السبب الكافى للاعتقاد بأن هذا الهجوم استهدف أحد موظفى شركة متخصصة فى مجال خدمات المرافق العامة ضمن منطقة الشرق الأوسط. وأوضحت أن أحدث نسخة مبتكرة تعمل بناء على مستند التسليم Clayslide بطريقة مشابهة لأسلافها، وتستعرض فى بادئ الأمر ورقة عمل «متناقضة» تنص على أن ملف Excel تم إنشاؤه باستخدام إصدار أحدث من برنامج إكسيل، لذا يحتاج المستخدم إلى «تمكين المحتوى» لعرض المستند. فإذا ما قام المستخدم بالنقر فوق خيار «تمكين المحتوى»، سيقوم ماكرو خبيث بتشغيل تلك البرمجية من خلال عرض ورقة عمل مخفية تحتوى على محتويات خادعة. وتواصل مجموعة التهديد استخدام مستند التسليم فى هجماتها، وتشير النسخة البديلة الحالية من مستند التسليم كلايسليد إلى أن هذه المجموعة تواصل تطوير مستندات التسليم من خلال تقنيات تحميل جديدة.