كشفت جوجل مؤخرًا عن تفاصيل مثيرة تتعلق بهجوم سيبراني استخدم تقويم جوجل كوسيلة لسرقة المعلومات. يتعلق الأمر بمجموعة من المتسللين تُعرف باسم APT41، والتي يُعتقد أنها مرتبطة بحكومة الصين. تم اكتشاف هذا الهجوم في أكتوبر 2024، وقد انطلق من موقع حكومي مخترق، الذي تم استخدامه كمصدر لبرمجيات خبيثة تهدد أمن بيانات المستخدمين.
أسلوب الهجوم
اقرأ كمان: كيفية تفعيل واتساب برقم أرضي بسهولة دون الحاجة لشريحة موبايل
في إطار هذا الهجوم، اعتمد المخترقون على أسلوب التصيد الاحتيالي الموجه الذي يستهدف أفرادًا محددين. حيث أُرسلت رسائل إلكترونية تحتوي على روابط إلى ملفات مضغوطة مستضافة على الموقع المخترق. وعند فتح هذه الملفات، يظهر ملف اختصار مُخادع يُمهد الطريق لتحميل البرمجيات الخبيثة.
مراحل تنفيذ البرمجيات الخبيثة
عملت البرمجيات الخبيثة على ثلاث مراحل متتالية باستخدام تقنيات متقدمة لتفادي الاكتشاف. في المرحلة الأولى، يتم فك تشفير ملف DLL يُعرف باسم PLUSDROP. بينما تمنح المرحلة الثانية للمهاجم القدرة على تشغيل عمليات ويندوز شرعية تعزز من مظهر البرمجيات الخبيثة. أما المرحلة الأخيرة، فتكشف عن TOUGHPROGRESS، الحاملة للبيانات السرية، التي تتواصل مع المهاجمين عبر تقويم جوجل.
استجابة جوجل
استجابةً لهذا التهديد، قام فريق جوجل لاستخبارات التهديدات (GTIG) باتخاذ خطوات فورية لتعطيل الحسابات المستخدمة من قبل المهاجمين وإغلاق مشاريع جوجل وورك سبيس المرتبطة. كما تم تحديث أنظمة اكتشاف البرمجيات الضارة وتطبيق إجراءات أمنية متطورة لحماية المستخدمين.
التعاون مع المؤسسات المعنية
أخيرًا، قامت جوجل بإبلاغ المؤسسات المعنية عن هذا الهجوم مع توفير عينات من حركة المرور الخاصة بالبرمجيات الخبيثة للمساعدة في كشف والتحقيق في النشاطات الضارة.
شوف كمان: رئيس أنثروبيك: الذكاء الاصطناعي “يتخيل” أقل من البشر