كشف تقرير حديث عن تطور ملحوظ في أساليب مجموعة ScarCruft، وهي مجموعة تهديد مستمر متقدم (APT) مدعومة من كوريا الشمالية، حيث تتبنى آليات هجومية جديدة تعتمد على استغلال خدمات سحابية مشروعة لتوزيع برمجيات خبيثة من نوع ROKRAT. هذا التطور يمثل تحولاً استراتيجياً عن أساليبهم التقليدية، بهدف تعزيز قدرات التجسس السيبراني لديهم.
يأتي هذا النشاط المتزايد للمجموعة في وقت يشهد فيه المشهد السيبراني العالمي تزايداً في هجمات التجسس المنظمة. وقد لوحظ أن ScarCruft، المعروفة بنشاطها المستمر، قد حسّنت بشكل كبير من تكتيكاتها عبر حملة جديدة تستهدف نشر برمجيات ROKRAT الخبيثة. هذا التهديد المتقدم يواصل استغلال الثغرات بطرق مبتكرة.
ScarCruft تستغل خدمات سحابية لهجمات التجسس
بدلاً من الاعتماد على سلاسل هجمات LNK التقليدية، لجأت ScarCruft إلى طريقة إصابة معقدة تستخدم كائنات الربط والضم (OLE) المضمنة ضمن مستندات معالج هانغول (HWP). هذا التحول يهدف إلى التسلل خفية إلى الأنظمة المستهدفة وتنفيذ برمجية ROKRAT الخبيثة مباشرة في الذاكرة، مما يقلل من فرص اكتشافها.
واصل المهاجمون اعتمادهم على البنية التحتية السحابية المشروعة لتسهيل الاتصالات القيادية والتحكم (C2). من خلال الاستفادة من خدمات موثوقة مثل pCloud و Yandex، تقوم ScarCruft بتمويه حركتها الخبيثة ضمن حركة مرور الشبكة القياسية، مما يجعل جهود الكشف والحظر أكثر صعوبة.
هذا الاعتماد الاستراتيجي على منصات سحابية تجارية يضمن أن البرمجيات الخبيثة يمكنها استرداد حمولات البيانات وتلقي التعليمات بشكل موثوق. وفي الوقت نفسه، يساعد هذا الأسلوب في تجاوز آليات حظر الشبكة التي قد تشير إلى اتصالات مشبوهة.
آليات الهجوم الجديدة وربطها بالهجمات السابقة
أشار محللو S2W إلى التحول في آليات التسليم، مؤكدين أن البصمات التقنية الأساسية تظل متسقة مع عمليات ScarCruft التاريخية. تم تأكيد أن جميع الحالات التي تم تحليلها تظهر سلوكيات مميزة، مثل استخدام حل API المستند إلى ROR13 ومفتاح XOR فريد 0x29 لفك تشفير الحمولة.
توفر هذه التطابقات التقنية دليلاً قوياً على الانتماء، وتربط بشكل قاطع المتجهات الجديدة المستندة إلى OLE بأدوات المجموعة الراسخة. هذا يساهم في فهم أعمق للتهديد السيبراني الذي تشكله المجموعة.
حقن يعتمد على OLE وتحميل ديناميكي ثنائي (DLL Side-Loading)
تتمحور آلية الإصابة حول تضمين برمجيات التنزيل (Droppers) والتحميل (Loaders) الخبيثة ككائنات OLE. عند التفاعل مع مستند HWP مخترق، تبدأ هذه الكائنات الهجوم، وغالباً ما تستخدم تحميل DLL الجانبي للاختباء كعمليات نظام مشروعة لتجنب المراقبة الأمنية.
على سبيل المثال، يتم تحميل ملفات خبيثة مسماة mpr.dll أو credui.dll بشكل جانبي في تطبيقات ضعيفة مثل ShellRunas.exe. في الحالة الأولى، يقوم Dropper بإطلاق حمولة من منطقة الموارد الخاصة به، بينما في حالات أخرى، يعمل كأداة تنزيل، حيث يسترد شيل كود مخبأ باستخدام تقنية إخفاء المعلومات (steganography) من روابط Dropbox.
يقوم Loader بعد ذلك بالتحقق بدقة من بيئة التحليل قبل فك تشفير الحمولة الداخلية باستخدام مفتاح XOR أحادي البايت، مما يضمن تنفيذ ROKRAT بشكل سري داخل ذاكرة النظام. يجب على المؤسسات توخي الحذر الشديد مع مستندات HWP المستلمة عبر رسائل البريد الإلكتروني التصيدية للتخفيف من هذه المخاطر.
نظراً لأن تنفيذ المستندات التي تحتوي على كائنات OLE خبيثة يمكن أن يؤدي إلى تنفيذ تعليمات برمجية عشوائية، يجب على فرق الأمن الامتناع عن فتح الملفات من مصادر غير واضحة. كما ينبغي تعزيز قواعد الكشف عن التهديدات لتحديد كائنات OLE الشاذة المضمنة في ملفات HWP.