رصد هجوم إلكتروني متقدم يستهدف المملكة

أعلن مركز الأمن الإلكتروني السعودي، أمس، أنه رصد هجوما إلكترونيا جديدا متقدما (APT) يستهدف المملكة. وقال في سلسلة من التغريدات عبر حسابه في موقع «تويتر»، إن أنشطة الهجوم التي تمت ملاحظتها تعتمد على استخدام برمجية التحكم «PowerShell»، التي تقوم بالتواصل مع خادم التحكم والسيطرة (C2) باستخدام بروتوكول HTTP، حيث يقوم المهاجمون بسرقة البيانات بتلك الطريقة أو إرسال أوامر لجهاز الضحية.
وأضاف المركز أنه قام بمشاركة الجهات الحيوية مؤشرات الاختراق والتوصيات اللازمة لاتخاذ الإجراءات الاستباقية المناسبة لمنع الهجوم.
وأوصى المركز الجهات الحيوية بتحديث «PowerShell» للنسخة الخامسة وحذف النسخة القديمة، وتمكين تسجيل الوحدة النمطية من خلال تسجيل البرنامج النصي وكتاب تسجيل الدخول في «PowerShell» الإصدار 5، وكذلك التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضا يحتاج إلى تنفيذها على «PowerShell». كما أوصى بالتأكد من السماح فقط للبرامج التي تحتاج لها الجهة، ومنع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل C:UsersUsername والمجلدات المؤقتة، مثل C:WindowsTemp.
ومن النصائح المهمة في هذا الإطار استخدام (Email Filtering) لمسح ومنع أي بريد إلكتروني بداخله مستند «ماكرو» وغيرها من الملفات الخبيثة مثل «Windows Host Scripting and HTA files»، وتنفيذ حل مراقبة سلامة الملفات (FIM) على «www root» في جميع تطبيقات الإنترنت، مثل تطبيقات الويب والبريد الإلكتروني و«VPN portals». ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.