كاسبرسكي تصنّف حزمة الاستغلال Coruna كنسخة محدّثة من إطار عملية التثليث (Operation Triangulation)
أجرى فريق البحث والتحليل العالمي في كاسبرسكي (GReAT) تحليلاً على مستوى النص البرمجي للثغرات الموجودة في حزمةCoruna، وتوصل الفريق إلى أنّ الحزمة عبارة عن نسخةٌ محدثة ومباشرة من إطار العمل الذي استخدم جزئياً في عملية التجسس الإلكتروني السابقة المعروفة باسم «عملية التثليث». وتؤكد كاسبرسكي أنّ ثغرات النواة (Kernel) في كل من التثليث وCorunaمن تطوير الجهة نفسها.
كشف التحليل أنّ إحدى ثغرات النواة الخمسالموجودة في الحزمة هي نسخة محدثة من ثغرة اكتشفتها كاسبرسكي سابقاً خلال حملة التجسس«عملية التثليث» في عام 2023.وكانت الثغرات الأربع المتبقية، التي تم تطوير اثنتينمنها بعد الكشف العلني عن عملية التثليث، مبينة على إطار عمل الاستغلال نفسه. ولا تقتصر أوجه التشابه على استغلال ثغرات النواة، بل تطال كذلك مكونات أخرى من حزمةCoruna، مما قاد كاسبرسكي إلى الاستنتاج بأنّ هذه الحزمة البرمجية ليست مجموعة من أجزاء متباينة، بل نتاجُ تطوير مستمر لإطار العمل الأصلي.
تضمن النص البرمجي دعماً لمجموعة من منتجات Apple مثل معالجات A17، وM3، وM3 Pro، وM3 Max، فضلاً عن إشارات إلى إصدارات متعددة من نظام iOS حتى الإصدار 17.2، وقد صدرت جميعها في خريف وشتاء عام 2023. كذلك، تضمن النص البرمجي فحصاً خاصاً للإصدار التجريبي الرابع لنظام iOS 16.5، وهو الإصدار الذي أطلقته شركة آبل لمعالجة الثغرات التي أبلغت عنها كاسبرسكي.
يعلق على هذه المسألة بوريس لارين، وهو باحث أمني رئيسي في فريق البحث والتحليل العالمي لدى كاسبرسكي: «عندما جرى الإبلاغ عن أداة Coruna للمرة الأولى، لم تكن الأدلة المتاحة للعامة كافية لربط نصها البرمجي بحملة التثليث السابقة؛ إذ لا تعد الثغرات الأمنية المشتركة برهاناً كافياً على أنهما من برمجة الجهة المطورة نفسها. أما الآن، فقد اختلف الوضع تماماً بعدما حللنا الملفات الثنائية؛ إذ تبين أنّ أداة Coruna ليست مجموعة من الثغرات الأمنية العامة، بل نتاجُ تطوير لإطار عمل حملةالتثليث الأصلية. ويشير تضمين فحص المعالجات الحديثة مثل معالج M3 وإصدارات iOS الأحدث إلى أن المطورين الأصليين قد وسعوا قاعدة النص البرمجي بشكل فعال. فما كانت أداةَ تجسس دقيقة الاستهداف أصبحت اليوم مستخدمة في الهجمات على نطاق واسع.»
وتحثّ كاسبرسكي جميع مستخدمي أجهزة iPhone على تثبيت آخر تحديث لنظام التشغيل iOS. فقد عالجت شركة Apple الثغرات الأمنية التي استغلتها برمجية Coruna، بيد أنّ الأجهزة غير المحدثة تظل معرضة للخطر.
تعرف عملية التثليث بأنّها حملة تهديدات مستعصية متقدمة (APT) استهدفت الأجهزة العاملة بنظام iOS، وقد رُصدت للمرة الأولى في شهر يونيو عام 2023. واكتشفت كاسبرسكي هذه الحملة خلال مراقبتها لحركة تدفق البيانات عبر شبكة الإنترنت اللاسلكية الخاصة بالشركة، إذ استهدف المهاجمون الأجهزة العاملة بنظام iOS لدى عشرات من موظفي كاسبرسكي. وحدد باحثو الشركة أربع ثغرات يومٍ صفري غير معروفة استُغلّت في هذه الحملة التي أثرت على تشكيلة واسعة من منتجات Apple.
يوصي باحثو كاسبرسكي اتباع الإجراءات التالية تجنباً للوقوع ضحية لهجمات موجهة من جهة تهديدات معروفة أو مجهولة:
• احرص على التحديث الدوري والمنتظم لنظام التشغيل، والتطبيقات، وبرامج الأمان لمعالجة أي ثغرات أمنية معروفة وتصحيحها.
• مركز مراقبةالأحداث عبر البنية التحتية كلها باستخدام حلول مثل Kaspersky SIEM، الذي يوفر رؤية شاملة للأحداث الأمنية، ويعزز أداء العمليات الأمنية.
• زوّد فريق الأمن السيبراني برؤية معمقة وشاملة للتهديدات السيبرانية التي تستهدف مؤسستك. ويوفر أحدث إصدار من حلّ Kaspersky Threat Intelligenceمعطيات ذات سياقٍ واضح وغني طوال دورة إدارة الحوادث الأمنية، مما يساعدهم على تحديد المخاطر السيبرانية بسرعة.
• طوّر مهارات فريق الأمن السيبراني في مؤسستك للتصدي لأحدث التهديدات الموجهة. فعلى سبيل المثال، يمكنك الاستعانة ببرنامج Kaspersky Cybersecurity Training الذي يقدم دورات تدريبية عملية.
• لتوفير حماية قوية للنقاط الطرفية وبناء قدرات الاستجابة للحوادث، استخدم حلولاً من مجموعة منتجات Kaspersky Next. وتتميز هذه الحلول بوظائف الاكتشاف والاستجابة الأساسية للنقاط الطرفية، والضوابط الأمنية المتقدمة، وإدارة التحديثات الأمنية، وأمن السحابة، فهي بذلك توفر رؤية شاملة للتهديدات، وتحقيقاً موجهاً، واستجابة سريعة لمساعدة الشركات على التصدي للهجمات المراوغة بأقل قدر من الموارد.
يمكنكم الاطلاع على التحليل التقني الكامل على موقع Securelist.com.