تمكن خبراء أمنيون من رصد مجموعة قراصنة تعرف باسم “هريرة ساحرة” أو “فوسفور” أو “تي أي 53” أو “أي بي تي 35/42″، حيث قامت هذه المجموعة بنشر برنامج ضار يسمى “سبونسور” في 34 شركة حول العالم.
وتتميز هجمات سبونسور بميزة هامة وهي إخفاء الملفات الغير ضارة في الجهاز المستهدف، وبالتالي يتم نشرها بشكل مخفي باستخدام البرامج النصية المجمعة الضارة، وهذا يسهم في نجاح تجنب الكشف عنها.
واستمرت حملة الاختراق التي اكتشفها خبراء شركة ESET لأمن المعلومات خلال الفترة من مارس 2021 إلى يونيو 2022، واستهدفت جهات حكومية ومؤسسات رعاية صحية وشركات في مجالات المالية والهندسة والتصنيع والتقنية والقانون والاتصالات وغيرها.
ومن بين الدول التي تعرضت للاستهداف في هذه الحملة وفقًا لـ ESET كانت إسرائيل والبرازيل والإمارات العربية المتحدة.
تشير تقارير ESET إلى أن مجموعة “هريرة ساحرة” استفادت بشكل رئيسي من ثغرة أمنية في خدمة Microsoft Exchange، تُعرف باسم CVE-2021-26855، للوصول الأولي إلى أنظمة الشبكات المستهدفة.
واستخدم القراصنة العديد من الأدوات المفتوحة المصدر التي ساعدتهم في استخراج البيانات ومراقبة النظام والتسلل في الشبكة والاحتفاظ بالوصول إلى الأجهزة المخترقة.
تمكنت ESET أيضًا من رصد نسخة ثانية من برنامج “سبونسور” تتميز بتحسينات في التعليمات البرمجية وتكنولوجيا التخفي لتظهر كأداة تحديث.
وعلى الرغم من عدم اتصال عناوين بروتوكول الإنترنت التي استخدمت في هذه الهجمات بالإنترنت بعد الآن، قامت ESET بمشاركة المؤشرات الكاملة لمساعدة الأفراد في الحماية من التهديدات المستقبلية التي قد تستخدم بعض الأدوات أو البنية التحتية التي استخدمتها مجموعة “هريرة ساحرة”.
