كشفت “نتسكوب”، الشركة الرائدة في خدمة الوصول الآمن للحافة، اليوم عن نتائج تقريرها “السحابة والتهديدات: اتجاهات البرامج الضارة والسحابة العالمية”، الذي يسلط الضوء على الطرق الجديدة المتبعة من قبل جهات التهديد لتجنب الاكتشاف وزيادة التخفي من خلال الاندماج مع حركة مرور البيانات عبر الشبكة باستخدام بروتوكولي (HTTP و HTTPS) والاعتماد على البرمجيات الضارة كنواقل للهجوم. إلى جانب ذلك، أشار فريق أبحاث التهديدات لدى “نتسكوب” إلى أنه في المتوسط، حاول خمسة من كل ألف مستخدم في المؤسسات تنزيل برامج ضارة في الربع الأول من عام 2023، ومثلت عائلات ومتغيرات البرامج الضارة الجديدة ما يصل إلى 72٪ من مجمل عمليات التنزيل.
الهندسة الاجتماعية و بيانات البرمجيات الضارة عبر محركات البحث في ازدياد
كما أشار التقرير أيضاً إلى أن ما يقرب من 10٪ من جميع تنزيلات البرامج الضارة في الربع الأول من عام 2023 تمت عبر محركات البحث الشهيرة. حيث نتجت هذه التنزيلات في الغالب عن فراغات البيانات المُسلَّحة، أو مجموعات من مصطلحات البحث التي لها نتائج قليلة جداً، مما يعني أن أي محتوى يطابق هذه المصطلحات من المحتمل أن يظهر من ضمن النتائج الرئيسية للبحث. يمثل هذا واحدة من عديد تقنيات الهندسة الاجتماعية التي يعمل المهاجمون على تسريعها.
ولا تزال تقنيات الهندسة الاجتماعية هي المهيمنة كونها تستخدم البرامج الضارة لاستهداف ليس محركات البحث فحسب وإنما في البريد الإلكتروني وتطبيقات التواصل و الدردشة بهدف خداع ضحاياهم. وحسب الدراسة، فقد استحوذت برمجيات “حصان طروادة” على 60٪ من تنزيلات البرامج الضارة الذي شهدها الربع الأول من عام 2023، في حين شكلت برمجيات “التصيّد الاحتيالي” ما نسبته 13٪ من مجمل التنزيلات.
تقييم قنوات الاتصال الأساسية بين المهاجمين
لأول مرة في تقاريرها الفصلية للتهديدات والسحابة، حللت “نتسكوب” قنوات الاتصال المستخدمة من قبل المهاجمين. حيث وجد فريق البحث من أن المهاجمين، وبهدف تجنب الاكتشاف المستمر، استخدموا بروتوكول (HTTP و HTTPS) عبر المنفذين 80 و 443 كقناة اتصال أساسية لديهم. في الواقع، من بين الملفات التنفيذية الجديدة للبرامج الضارة التي حللها “نتسكوب” والتي تواصلت مع مضيفين خارجيين، وجدوا أن 85% من المهاجمين فعلوا ذلك عبر الاتصال بالمنفذ 80 (HTTP) و 67٪ فعلوا ذلك عبر المنفذ 443 (HTTPS). مما يمكّن الجهات المهاجمة من التسلل بسهولة دون أن يلاحظهم أحد والاندماج مع حركة مرور البيانات عبر بروتوكولات (HTTP و HTTPS) الموجودة بالفعل على الشبكة.
بالإضافة إلى ذلك، للتهرب من عناصر التحكم الأمنية المستندة إلى نظام أسماء النطاقات (DNS)، تتجنب بعض عينات البرامج الضارة عمليات بحث في نظام أسماء النطاقات (DNS)، وبدلاً من ذلك تصل مباشرةً إلى المضيفين الخارجيين عن طريق استخدام عناوين برتوكولات الانترنت الخاصة بهم. في الربع الأول من عام 2023، قامت معظم عينات البرامج الضارة التي بدأت الاتصالات الخارجية باستخدام مجموعة من عناوين بروتوكولات الانترنت (IP) واستخدام أسماء المضيف، حيث كان 61٪ منها يتصلون مباشرة بعنوان بروتوكول واحد على الأقل و 91٪ يتواصلون مع مضيف واحد على الأقل عبر البحث في أسماء النطاقات.
وتعليقاً على نتائج هذه الدراسة، تحدث راي كانزانيز، مدير أبحاث التهديدات لدى «نتسكوب »: “بالنظر للمهاجمين الذين ينجذبون نحو الخدمات السحابية المستخدمة على نطاق واسع في المؤسسة والاستفادة من القنوات الشعبية للتواصل، أصبح التخفيف من المخاطر متعدد الوظائف ضرورياً أكثر من أي وقت مضى.”
إلقاء نظرة موسعة إلى اتجاهات البرامج الضارة للويب والسحابة العالمية
كما شمل التقرير نتائج أخرى كشف عنها فريق بحث “نتسكوب”:
- 55٪ من تنزيلات البرامج الضارة عبر برتوكولات (HTTP / HTTPS) جاءت من التطبيقات السحابية، والتي ارتفعت بشكل ملحوظ عن 35٪ لنفس الفترة من عام 2022. وكان الدافع الأساسي للزيادة هو ارتفاع تنزيلات البرمجيات الضارة الموجودة ضمن أكثر تطبيقات السحابة الإلكترونية للمؤسسات شيوعاً، حيث احتل تطبيق “مايكروسوفت وان درايف” المرتبة الأولى ضمن أكثر التطبيقات السحابية شيوعاً للمؤسسات.
- كما ازداد عدد التطبيقات التي تم تنزيل برامج ضارة منها، حيث وصلت إلى 261 تطبيقاً مميزاً في الربع الأول من عام 2023.
- في حين تم نقل جزء صغير فقط من إجمالي تنزيلات البرامج الضارة على الويب عبر فئات الويب التي تعتبر تقليدياً محفوفة بالمخاطر. بدلاً من ذلك، تنتشر التنزيلات بين مجموعة متنوعة من المواقع، حيث كانت خوادم المحتوى (CDN) مسؤولة عن أكبر شريحة بنسبة 7.7٪.
وكون المؤسسات تعمل جاهدةً للتصدي لخطر الهجمات السيبرانية، فإن التعاون متعدد الوظائف عبر فرق متعددة هو أمر مطلوب للغاية، بما في ذلك الشبكة والعمليات الأمنية و ضمن فرق الاستجابة للحوادث و القيادة دون إغفال دور المساهمين الفرديين. لذا تتضمن بعض الخطوات الإضافية التي يمكن للمؤسسات اتخاذها لتقليل المخاطر ما يلي:
- فحص جميع التنزيلات التي تتم عبر بروتوكولات (HTTP و HTTPS)، بما في ذلك حركة مرور البيانات عبر الويب و في السحابة، لمنع البرامج الضارة من التسلل إلى شبكتك
- التأكد من أن عناصر تحكم الأمان تجري عمليات الفحص الدورية على محتوى ملفات الأرشيف الشائعة مع الفحص الدقيق للملفات عالية الخطورة
- تكوين السياسات الأمنية التي تحظر التنزيلات من التطبيقات غير المستخدمة ضمن مؤسستك لضمان تقليل سطح المخاطر بفعالية أكبر.
للاطلاع على المزيد من نتائج تقرير نتسكوب عن السحابة والتهديدات: أحدث توجهات البرامج الضارة والسحابة العالمية يرجى الضغط هنا.
ولمعرفة المزيد من المعلومات حول التهديدات الممكّنة على السحابة وأحدث النتائج التي توصل إليها فريق نتسكوب لأبحاث التهديدات، تفضل بزيارة Netskope’s Threat Research Hub.