شهد العالم مؤخراً تزايداً في التهديدات السيبرانية المتقدمة، حيث كشفت تقارير أمنية عن تعاون غير مسبوق بين مجموعتي قرصنة كوريتين شماليتين مرموقتين، وهما Kimsuky و Lazarus. يهدف هذا التعاون إلى تنفيذ حملات هجومية منسقة تستهدف مؤسسات حيوية حول العالم، مستفيدين من ثغرات يوم-صفر (zero-day vulnerabilities) وتقنيات الهندسة الاجتماعية لسرقة معلومات حساسة وأصول رقمية.
تفصيلاً، بدأت حملات التهديد هذه بأنشطة استطلاع وجمع معلومات تقوم بها مجموعة Kimsuky. تستخدم Kimsuky رسائل تصيد إلكتروني مصممة بعناية، غالباً ما تبدو كدعوات لحضور مؤتمرات أكاديمية أو طلبات للتعاون البحثي. تحمل هذه الرسائل مرفقات خبيثة بصيغ HWP أو MSC، وعند فتحها، تقوم بتثبيت باب خلفي يُعرف باسم FPSpy.
بمجرد تثبيت FPSpy، يبدأ بتفعيل برمجية لتسجيل ضغطات المفاتيح (keylogger) تدعى KLogEXE. تلتقط هذه البرمجية كلمات المرور، ومحتوى رسائل البريد الإلكتروني، ومعلومات حول النظام المستهدف. الهدف من هذه المرحلة هو رسم خريطة للبنية التحتية للشبكة المستهدفة وتحديد الأصول ذات القيمة العالية قبل تسليم زمام الأمور لمجموعة Lazarus.
تحالف X-Force: Kimsuky و Lazarus يعززان قدراتهما السيبرانية
تُعد مجموعة Lazarus، المعروفة بأنشطتها المدعومة من الدولة، هي المنفذ الرئيسي لمرحلة الاختراق الأعمق. وفقاً لباحثي الأمن في CN-SEC، تستغل Lazarus ثغرات يوم-صفر جديدة لاستعادة سيطرة أكبر على الأنظمة المخترقة. من أبرز الثغرات التي استغلها المهاجمون هي CVE-2024-38193، وهي ثغرة في نظام ويندوز تسمح بتصعيد الامتيازات.
تستغل هذه الثغرة لنشر حزم Node.js خبيثة تبدو مشروعة. عند تنفيذ هذه الحزم، يحصل المهاجمون على امتيازات على مستوى النظام (SYSTEM-level privileges). بعد ذلك، يقومون بتثبيت باب خلفي متطور يطلق عليه InvisibleFerret. يتميز هذا الباب الخلفي بقدرته على التخفي وتجاوز أدوات الكشف التقليدية، لا سيما بفضل مكون الفدية (Fudmodule) الذي يساعد في التخفي.
تفاصيل تقنية حول الباب الخلفي InvisibleFerret
يمثل الباب الخلفي InvisibleFerret تطوراً هاماً في قدرات التخفي السيبراني. فهو يقوم بتمويه حركة مرور الشبكة الخاصة به لتبدو كطلبات ويب HTTPS عادية، مما يجعل من الصعب للغاية على فرق الأمن اكتشافه من خلال تحليل حركة المرور.
من الجدير بالذكر أن هذا الباب الخلفي يستهدف بشكل خاص محافظ العملات المشفرة (blockchain wallets). يقوم بمسح ذاكرة النظام بحثاً عن المفاتيح الخاصة وبيانات المعاملات المخزنة في ملحقات المتصفح وتطبيقات سطح المكتب. وفي إحدى الحالات الموثقة، تمكن المهاجمون من تحويل ما قيمته 32 مليون دولار أمريكي من العملات المشفرة في غضون 48 ساعة دون إثارة أي إنذارات أمنية.
تتواصل البرمجيات الخبيثة مع خوادم القيادة والتحكم (C2) عبر قنوات مشفرة تتغير يومياً، وذلك باستخدام استراتيجية الاستقصاء عن النطاقات (domain polling). يتم إخفاء كل نطاق C2 ليبدو كأنه موقع إلكتروني شرعي للتجارة الإلكترونية أو الأخبار لتجنب الشبهات.
بعد إتمام أهدافهم، تتعاون المجموعتان في إزالة الأدلة باستخدام بنية تحتية مشتركة. تتضمن هذه العملية الكتابة فوق الملفات الخبيثة بملفات عمليات نظام شرعية وحذف سجلات الهجوم. وتواجه المؤسسات في قطاعات الدفاع، والمالية، والطاقة، والبلوك تشين، أعلى مستويات الخطر من هذا التهديد المنسق.