كشفت أبحاث مشتركة أجرتها Hunt.io ووحدة أبحاث التهديدات في Acronis عن شبكة واسعة من البنية التحتية التي ترعاها كوريا الشمالية، مما يوفر رؤى جديدة حول الارتباطات بين عمليات Lazarus و Kimsuky في الحملات العالمية. تم التعرف على خوادم لتوزيع الأدوات، وبيئات لسرقة بيانات الاعتماد، وعقد لنفق FRP، بالإضافة إلى نسيج بنية تحتية مرتبط بالشهادات، جميعها تحت سيطرة مشغلي جمهورية كوريا الديمقراطية الشعبية.
هذا الكشف يوفر رؤية غير مسبوقة لكيفية حفاظ الجهات التهديدية على الوصول المستمر وتنسيق هجماتها عبر أهداف متعددة في وقت واحد. وتشير الأرقام إلى أن هذه الجهات تستخدم استراتيجيات متطورة للحفاظ على وجودها وتوسيع نطاق عملياتها.
بنية تحتية جديدة لتهديدات كوريا الشمالية
حدد التحقيق دليلًا على متغير جديد لبرنامج Badcall الخبيث، وهو عائلة برمجيات خبيثة تم رصدها سابقًا في هجوم سلسلة توريد 3CX، ولكن هذه المرة بنسخة تعمل على نظام Linux. يتميز هذا الإصدار بقدرات محسنة على تسجيل النشاط، حيث يسجل بيانات مُعلمة بالوقت في ملف /tmp/sslvpn.log باستخدام رموز رقمية قصيرة لتتبع عمليات البرمجيات الخبيثة.
تساعد آلية التسجيل المهاجمين على تأكيد التنفيذ الصحيح ومراقبة سلوك البرمجيات الخبيثة أثناء الاختراقات. وقد لاحظ محللو Hunt.io أن هذا المتغير تم استضافته على بنية تحتية مرتبطة سابقًا بحملات Lazarus، مما يشير إلى استمرار تطوير البرمجيات الخبيثة لهذه المجموعة.
أنماط تشغيلية ثابتة
أشار باحثو Hunt.io إلى أن البنية التحتية تكشف عن أنماط تشغيلية ثابتة عبر المجموعات الفرعية في كوريا الشمالية، مما يسهل التتبع.
تعمل الدلائل المفتوحة كنقاط تجميع سريعة، حيث تقوم بنشر مجموعات أدوات سرقة بيانات الاعتماد وأنفاق FRP بشكل متكرر على نفس المنافذ عبر مضيفات VPS متعددة. يعيد المهاجمون استخدام الشهادات التي تربط مجموعات منفصلة بنفس المشغلين، مما يخلق بصمة يمكن اكتشافها حتى عند تغيير البرامج الضارة أو العناصر المضللة.
تتيح هذه الأنماط التتبع من خلال تحليل البنية التحتية، بدلاً من الاعتماد فقط على فحص الحمولة. وهذا يوفر طريقة استباقية للكشف عن أنشطة التهديدات.
عقد الوصول المباشر والبنية التحتية المشتركة
كشف البحث عن عقد بنية تحتية نشطة متعددة. أحد الخوادم على العنوان 207.254.22.248:8800 عرض مجموعة أدوات لسرقة بيانات الاعتماد بحجم 112 ميجابايت، تحتوي على أدوات مثل MailPassView و WebBrowserPassView و ChromePass، بالإضافة إلى وحدات rclone لاستخراج البيانات.
استضاف عقد آخر على العنوان 149.28.139.62:8080 بيئة Quasar RAT مع أدوات بحجم 270 ميجابايت. وكان الاكتشاف الأهم هو العقد على العنوان 154.216.177.215:8080، والذي كشف عن ما يقرب من 2 جيجابايت من بيانات العمليات، بما في ذلك أدوات الأمن الهجومي، وبرامج سرقة كلمات مرور المتصفحات، ووحدات تصعيد الامتيازات، ومكونات التطوير.
حدد محللو Hunt.io هذه الدلائل المفتوحة كنقاط تجميع حرجة للتوزيع السريع أثناء الاختراقات، مما يوضح مدى استعداد الجهات التهديدية.
عقد نفق FRP
وجد الباحثون ثماني عقد نفق FRP تعمل على المنفذ 9999 عبر مضيفات VPS في منطقتي الصين وآسيا والمحيط الهادئ، كل منها يقدم نماذج ثنائية متطابقة بحجم 10 ميجابايت. يشير هذا التوحيد إلى توفير آلي بدلاً من التكوين اليدوي.
تعمل هذه العقد كوسطاء توجيه بين المضيفين المخترقين والخوادم التي يتحكم بها المشغلون، مما يوفر وصولاً موثوقًا حتى عندما يتم حظر قنوات القيادة والتحكم التقليدية. هذا يسمح بالمرونة في عمليات الاختراق.
ربط تحليل الشهادات 12 عنوان IP بـ hwc-hwp-7779700، مع ارتباط 10 عناوين بشكل مباشر ببرمجيات Lazarus الخبيثة على المنفذ 443. ويكشف إعادة استخدام الشهادات هذه عن مجموعات بنية تحتية كاملة قبل أن تصبح نشطة في الحملات، مما يوفر فرصة للكشف المبكر.
آلية العدوى وتتبع النشاط
تبدأ آلية العدوى للبرمجيات الخبيثة بمعالجة وسيطات سطر الأوامر. يتحقق متغير Badcall من وسيط معرف العملية، ويحاكي أمر إنهاء عبر وظيفته FakeCmd، ثم يقوم بتحويل نفسه إلى عملية daemon لبدء العمليات الأساسية.
توضح مقتطفات التعليمات البرمجية كيف تقوم وظيفة logMessage بتسجيل الرسائل مع الوقت، مما يساعد في تتبع الأحداث. هذه الوظيفة تسجل إدخالات مُعلمة بالوقت، مما يسهل على المهاجمين تتبع مسارات التسلل.
تختلف الرموز الرقمية في إدخالات السجل حسب العملية، مما يسمح للمهاجمين بمراقبة سلوك البرمجيات الخبيثة طوال فترة الاختراق. يمكن للمدافعين اكتشاف هذا النشاط من خلال مراقبة الدلائل المكشوفة التي تحتوي على أدوات حصاد بيانات الاعتماد، ووحدات FRP الثنائية على المنفذ 9999، والشهادات التي يُعاد استخدامها عبر المضيفين الذين تم تمكين RDP لهم، والبنية التحتية الموفرة عبر نفس مقدمي الخدمات الإقليميين.
توفر هذه الإشارات تحذيرًا مبكرًا من نشاط كوريا الشمالية عند تشكله، وليس فقط بعد بدء الاختراقات. ويُظهر البحث أن تحليل البنية التحتية يوفر تتبعًا أكثر موثوقية من فحص الحمولة وحده، ويكشف عن العادات التشغيلية المتسقة التي تحدد العمليات السيبرانية لكوريا الشمالية.