تشهد المؤسسات المالية عبر القارة الإفريقية موجة متصاعدة من الهجمات السيبرانية التي بدأت على الأقل منذ يوليو 2023، حيث يستخدم المهاجمون أدوات مفتوحة المصدر ومتاحة علنا للاحتفاظ بالوصول إلى الأنظمة المستهدفة، وفقا لتقرير صادر عن فريق الأبحاث Unit 42 التابع لشركة Palo Alto Networks.
الهجمات تصنف تحت الاسم الرمزي CL-CRI-1014، حيث ترمز “CL” إلى Cluster (عنقود هجمات)، بينما تشير “CRI” إلى Criminal Motivation (دافع إجرامي).
ويفترض الباحثون أن الهدف النهائي من هذه الهجمات هو الحصول على وصول أولي إلى الشبكات وبيعه لاحقا في المنتديات الإجرامية، ما يجعل الفاعلين وسطاء وصول أولي (Initial Access Brokers).
يعتمد المهاجمون على أدوات قوية مثل PoshC2 لإدارة الأوامر والسيطرة، وChisel لتمرير البيانات الضارة عبر الشبكة، وأداة Classroom Spy لمراقبة أجهزة الضحايا عن بُعد. ومن اللافت أن الهجمات تتضمن تقنيات متقدمة لتضليل أنظمة الحماية، حيث يتم تزوير التواقيع الرقمية للملفات لتبدو وكأنها تابعة لبرمجيات مشروعة مثل Microsoft Teams وVMware Tools وPalo Alto Cortex.
وفي عدة حالات، وجد الباحثون أن برمجية PoshC2 ظلت نشطة عبر ثلاث طرق: من خلال إنشاء خدمة على النظام، أو اختصار محفوظ داخل مجلد التشغيل التلقائي (Startup)، أو مهمة مجدولة تحت اسم مزور “Palo Alto Cortex Services”.
جدير بالذكر أن استخدام PoshC2 في استهداف المؤسسات المالية الإفريقية ليس بالأمر الجديد. ففي سبتمبر 2022، كشفت شركة Check Point عن حملة تصيد إلكتروني عرفت باسم DangerousSavanna استهدفت شركات مالية وشركات تأمين في كل من المغرب وساحل العاج والكاميرون والسنغال وتوغو. واعتمدت الهجمات آنذاك على مجموعة أدوات تتضمن Metasploit وDWservice وAsyncRAT.
في سياق متصل، كشفت شركة Trustwave SpiderLabs عن مجموعة فدية جديدة تعرف باسم Dire Wolf استهدفت 16 ضحية في دول مختلفة بينها الولايات المتحدة وكندا والهند وأستراليا. تعتمد هذه المجموعة على برمجية مكتوبة بلغة Golang وتملك القدرة على تعطيل خدمات النظام، وإيقاف عشرات التطبيقات، وحذف النسخ الظلية لمنع استعادة البيانات.
ورغم أن أساليب الوصول الأولي لهذه المجموعة لم تُكتشف بعد، يحث الخبراء المؤسسات على تطبيق أفضل الممارسات الأمنية، مثل:
-
مراقبة الشبكة لرصد أي استخدام مشبوه للأدوات المفتوحة المصدر
-
فحص المهام المجدولة والخدمات المجهولة في الأنظمة
-
تشديد سياسات الوصول للأنظمة الحساسة
-
توعية الموظفين بمخاطر التصيد والروابط الخبيثة
تسلط هذه الهجمات الضوء على التحول الخطير نحو استخدام أدوات مفتوحة المصدر في الجرائم السيبرانية، وتوضح كيف باتت المؤسسات المالية في إفريقيا هدفًا محوريًا لمجرمين يسعون لبيع الوصول لأطراف ثالثة.
