كشفت شركة أمن سيبراني عن حملة تجسس إلكتروني متعددة المراحل تنفذها مجموعة تهديدات تُعرف باسم Konni APT، تستهدف اختراق حسابات تطبيق كاكاو توك لنشر برمجيات خبيثة. تبدأ العملية برسائل تصيد موجهة تستغل أساليب نفسية لخداع الضحايا.
تعتمد الحملة على خداع المستخدمين عبر إرسال رسائل بريد إلكتروني تبدو رسمية، تدعي تعيين المتلقي كمحاضر في قضايا حقوق الإنسان في كوريا الشمالية. تثير هذه الرسائل الاهتمام المهني لدى المستهدفين لجعلها تبدو ذات مصداقية، مما يزيد من احتمالية فتح المرفقات.
تتضمن الرسائل ملف أرشيف يحتوي على رابط وهمي (LNK) مغلف بأيقونة مستند عادي، لإخفاء طبيعته الخبيثة. عند النقر عليه، يتم تنفيذ نص برمجي خفي عبر PowerShell يقوم بالاتصال بخادم قيادة وتحكم لتحميل برمجيات إضافية على جهاز الضحية.
حملة Konni APT: اختراق عبر تطبيق كاكاو توك
بعد الحصول على موطئ قدم أولي، لا تتراجع مجموعة Konni APT، بل تستمر في جمع البيانات الحساسة. تشمل هذه البيانات المستندات الداخلية، وتفاصيل حسابات المستخدمين، وبيانات بيئة النظام، مما يسمح للمجموعة بجمع معلومات استخباراتية قيمة.
وتتميز هذه الحملة عن عمليات التصيد التقليدية بما يحدث لاحقًا. يقوم المهاجمون بالوصول غير المصرح به إلى تطبيق تطبيق كاكاو توك الخاص بالضحية، والذي يكون قيد التشغيل بالفعل على الجهاز المصاب. باستخدام قائمة جهات اتصال الضحية، يتم اختيار أصدقاء محددين وإرسال ملف خبيث لهم، متظاهرًا بأنه وثيقة تخطيط لمحتوى فيديو متعلق بكوريا الشمالية.
هذا يحول الضحية الأصلية إلى نقطة توزيع للبرمجيات الخبيثة، مما يجعل الموجة الثانية من الهجمات أكثر صعوبة على المستلمين اكتشافها. ووفقًا لتحليلات شركة Genians، تم استخدام ثلاثة أدوات وصول عن بعد منفصلة: EndRAT، وRftRAT، وRemcosRAT، تم تقديمها جميعًا كنصوص AutoIt مخفية كملفات مستندات.
آلية الإصابة: من ملف LNK إلى الاختراق الكامل
يُعد ملف LNK الخبيث، وهو جوهر هذه الهجوم، أكثر قدرة من الروابط الاختصارية العادية. عند النقر المزدوج عليه، يقوم بتشغيل عملية PowerShell خفية عبر cmd.exe، مستخدماً مسار SysWOW64، وهو تكتيك قد يتجاوز بعض الضوابط الأمنية.
بدلاً من استخدام اسم ملف ثابت، يحدد نص PowerShell البرمجي ملف LNK من خلال مطابقة حجم ملف معين، مما يعني أنه يستمر في العمل حتى لو تم تغيير اسمه. بمجرد تحديده، يقرأ النص كتلة بيانات كبيرة مدمجة داخل ملف LNK من إزاحة ثابتة ويقوم بفك تشفيرها باستخدام مفتاح XOR أحادي البايت. النتيجة هي ملف PDF وهمي يفتح للمستخدم، مما يجعل التفاعل يبدو طبيعيًا تمامًا.
أثناء قراءة الضحية للملف الوهمي، يستمر الهجوم الفعلي في الخلفية. يقوم ملف LNK بحذف نفسه من القرص فور التنفيذ، مما يزيل الأدلة الجنائية ويجعل من الصعب تتبع الحادث. بعد ذلك، يتم تنزيل ملفين من نطاق القيادة والتحكم: مفسر AutoIt شرعي ونص AutoIt خبيث مجمع. يتم إنشاء مهمة مجدولة لتشغيلها كل دقيقة لمدة 365 يومًا، مما يمنح المهاجم وصولاً موثوقًا وطويل الأمد إلى الجهاز المصاب.
لتقليل التعرض لهذا التهديد، يُنصح بفحص أو عزل المرفقات الأرشيفية التي تحتوي على ملفات LNK قبل وصولها إلى المستخدمين، خاصة تلك التي تتخفى بأيقونات المستندات. كما يُنصح بنشر حلول EDR القادرة على اكتشاف سلاسل العمليات غير الطبيعية بعد تنفيذ LNK، ومراقبة تطبيقات الرسائل على نقاط النهاية لتحديد نشاط نقل الملفات غير العادي. بالإضافة إلى ذلك، يجب تدريب المستخدمين على تأكيد أنواع الملفات قبل فتحها والإبلاغ عن المرفقات المشبوهة، وحظر حركة المرور الصادرة إلى النطاقات وعناوين IP غير المصرح بها.