كشفت أحدث أبحاث أجرتها شركة كاسبرسكي عن استخدام التهديدات المستعصية المتقدمة (APT) من قبل مصادر التهديد لاستهداف خدمات الوصول البعيد الضعيفة، وآليات التحكم بالوصول مثل Windows Smart Screen في هجماتهم التي تعتمد على استغلال نقاط الضعف الأمنية. كما يُظهر تحليل البيانات المتاحة عن الثغرات المستخدمة في هجمات التهديدات المستعصية المتقدمة في عامي 2023 و2024 كون التطبيقات المكتبية مثل حزمة Microsoft Office وبرمجية WinRAR أهدافاً متكررة.
على الرغم من أن هجمات التهديدات المستعصية المتقدمة نادرة الحدوث، فهي تشكل تهديداً كبيراً للشركات الكبيرة. وعادةً ما تستهدف مصادر التهديد أهدافاً محددة، وتسعى إلى البقاء مخفية دون اكتشافها لفترات طويلة داخل البنية التحتية.
في الربع الأول من عام 2024، أظهرت البيانات المتاحة حول هجمات التهديدات المستعصية المتقدمة أن أكثر الثغرات الأمنية المستخدمة بين المخترقين المتقدمين شيوعاً هي حقن الأوامر وتجاوز المصادقة في برمجيات أمن تكنولوجيا المعلومات وإدارة الأنظمة من شركة Ivanti (والتي تمتلك تسميات CVE-2024-21887 وCVE-2023-46805 على الترتيب).
أكثر الثغرات الأمنية استخداماً في هجمات التهديدات المستعصية المتقدمة في الفترة بين يناير ومارس 2024
من المرجح أن مصدر شعبية ثغرة CVE-2024-21887 هو حداثتها. إذ عادةً ما يستغل المخترقون نقاط الضعف بفعالية في الهجمات الموجهة خلال الأسابيع الأولى من رصدها والإعلان عنها، وذلك قبل أن تحصل الشركات على فرصة تثبيت التحديثات الأمنية. كما يمكن استخدام ثغرة CVE-2023-46805 بشكل متزامن مع استخدام ثغرة CVE-2024-21887.
في المرتبة الثالثة، تأتي الثغرة الأمنية في WinRAR، إذ تم اكتشافها في عام 2023، لكنها لا تزال مستخدمة بفعالية في الهجمات الموجهة. فهي تُضلل المستخدمين حيال طبيعة الملف المضغوط الذي يتم فتحه، وتقلل بذلك من حذرهم.
في عام 2023، تم اكتشاف أن الثغرات الأمنية الأكثر استغلالاً في الهجمات المتقدمة هي تلك الموجودة في برنامج WinRAR (تحمل اسم CVE-2023-38831)، وتليها ثغرتا CVE-2017-11882 وCVE-2017-0199 في حزمة برمجيات Microsoft Office.
الثغرات الأمنية المستخدمة في هجمات التهديدات المستعصية المتقدمة في عام 2023 حسب عدد الهجمات
يوضح ألكسندر كوليسنيكوف، الخبير الأمني في كاسبرسكي قائلاً: «بشكل مثير للاهتمام، لطالما احتلت ثغرات حزمة برمجيات Microsoft Office المركز الأول عادة، فهي تستخدم على نطاق واسع نظراً لشعبية نظام Windows وتطبيقاته في عالم الشركات، لكن تكشف أحدث إحصائية لهجمات التهديدات المستعصية المتقدمة عن اتجاه مختلف. فقد تنازلت حزمة برمجيات Microsoft Office عن الصدارة لصالح الثغرات في برنامج WinRAR.»
تم إجراء التحليل باستخدام معلومات من المصادر المتاحة حول هجمات التهديدات المستعصية المتقدمة التي استغلت نقاط الضعف والثغرات الشائعة التي تم توثيقها.
للتخفيف من مخاطر الهجمات المتقدمة، ينصح الخبراء بما يلي:
- افهم بنيتك التحتية بشكل كامل وراقب أصولها عن كثب، مع التركيز بشكل خاص على الجزء المحيطي.
- استخدم عملية إدارة للتحديثات الأمنية لاكتشاف البرمجيات الضعيفة ضمن البنية التحتية، وتثبيت التحديثات الأمنية على الفور. ويمكن أن تساعد حلول مثل Kaspersky Next وKaspersky Vulnerability Data Feed في هذا الصدد.
- أجرِ تقييمات أمنية منتظمة لتحديد نقاط الضعف وتصحيحها قبل أن تتحول إلى نقطة دخول للمهاجمين.
لحماية الشركة من مجموعة واسعة من التهديدات، استخدم حلول خط منتجات Kaspersky Next التي توفر الحماية في الوقت الفعلي، ورؤية التهديدات، وقدرات التحقيق والاستجابة لكل من حلول الاكتشاف والاستجابة للنقاط الطرفية وحلو الاكتشاف والاستجابة الموسعة للمؤسسات على اختلاف أحجامها والصناعات التي تعمل ضمنها. حيث يمكن اختيار مستوى المنتج الأكثر ملائمة اعتماداً على احتياجات الأعمال الحالية والموارد المتاحة، وذلك مع إمكانية انتقال سهلة إلى مستويات أخرى في حال تغير أي من متطلبات الأمن السيبراني