خلال العام 2020، لاحظ الباحثون في شركة «إسيت» ESET عدة هجمات استهدفت حصريًا كيانات كولومبية، والتي أطلق عليها اسم عملية Spalax. هذه الهجمات مستمرة وتركز على كل من المؤسسات الحكومية والشركات الخاصة، لا سيما في صناعات الطاقة والتعدين. يعتمد المهاجمون على استخدام هجمات طروادة للوصول عن بُعد، وعلى الأرجح تقوم بأنشطة تجسس إلكتروني.
يتم التعامل مع الأهداف من خلال رسائل البريد الإلكتروني التي تؤدي إلى تنزيل ملفات ضارة. في معظم الحالات، تحتوي رسائل البريد الإلكتروني هذه على مستند PDF مرفق يحتوي على رابط يجب على المستخدم النقر عليه. الملفات التي تم تنزيلها هي أرشيفات RAR عادية بها ملف قابل للتنفيذ بداخلها. تتم استضافة هذه الأرشيفات في خدمات استضافة الملفات المشروعة مثل OneDrive أو MediaFire. يمكن أن تكون رسائل البريد الإلكتروني المخادعة بمثابة إشعار لإجراء اختبار COVID-19 الإلزامي، أو حضور جلسة استماع في المحكمة، أو دفع غرامات المرور، أو قد تتعلق بتجميد الحسابات المصرفية.
الحمولات المستخدمة في عملية Spalax هي هجمات طروادة للوصول عن بُعد. توفر هذه إمكانيات عديدة ليس فقط للتحكم عن بُعد، ولكن أيضًا للتجسس على الأهداف: تسجيل لوحة المفاتيح والتقاط الشاشة واختطاف الحافظة وسرقة الملفات والقدرة على تنزيل وتنفيذ برامج ضارة أخرى، وذلك على سبيل المثال لا الحصر.
وصرح “ماتياس بورولي”، الباحث لدى «إسيت» الذي قام بالتحقيق في Spalax، وقال: “لاحظت «إسيت» استخدام ما لا يقل عن 24 عنوان IP مختلفًا خلال النصف الثاني من عام 2020. ربما تكون هذه أجهزة مخترقة تعمل كوكلاء لخوادم القيادة والتحكم الخاصة بهم. جنبًا إلى جنب مع استخدام خدمات DNS الديناميكية، يعني أن بنيتهم التحتية لا تبقى أبدًا. لقد رأينا ما لا يقل عن 70 اسم نطاق نشطًا في هذه التوقيت، وهم يسجلون أسماء جديدة بشكل منتظم.”
تم توسيع نطاق هجمات البرامج الضارة الموجهة ضد الكيانات الكولومبية منذ الحملات التي وصفها باحثون آخرون العام الماضي. لقد تغير المشهد من حملة تحتوي على عدد قليل من خوادم C&C وأسماء المجالات إلى حملة ذات بنية تحتية كبيرة جدًا وسريعة التغير مع مئات من أسماء النطاقات المستخدمة منذ عام 2019.
الهجمات التي شهدتها «إسيت» في عام 2020 تشارك بعض الـTTPs مع التقارير السابقة حول المجموعات التي تستهدف كولومبيا، ولكنها تختلف أيضًا في نواح كثيرة، مما يجعل الإسناد أمرًا صعبًا.