كشفت تقارير أمنية حديثة عن قيام مجموعة قرصنة كورية شمالية تُعرف باسم “Kimsuky” بتنفيذ حملة هجمات سيبرانية تستخدم ملفات ارتباط خبيثة (LNK) لتثبيت باب خلفي يعتمد على لغة بايثون على أجهزة الضحايا. وتتميز هذه الهجمات بتنفيذها على مراحل متعددة، مما يجعل اكتشافها صعباً على أدوات الأمن قبل وصول الحمولة النهائية.
تعتبر مجموعة Kimsuky لاعباً نشطاً منذ سنوات، وهي معروفة باستهدافها الوكالات الحكومية والمؤسسات البحثية والأفراد في كوريا الجنوبية وخارجها. وفي حملتها الأخيرة، أجرت المجموعة تغييرات ملحوظة في طريقة توزيع البرمجيات الخبيثة مقارنة بهجماتها السابقة، مع الحفاظ على الهدف الأساسي المتمثل في تشغيل باب خلفي بلغة بايثون على الأجهزة المخترقة.
تطور آليات هجمات Kimsuky
أجرى باحثون في مجال الأمن السيبراني تحليلاً لتطور هذه الهجمات، مشيرين إلى أن مجموعة Kimsuky قامت بتغيير هيكلي واضح في طريقة تنفيذ ملفات LNK الخبيثة. ففي السابق، كان مسار الهجوم ينتقل مباشرة من ملف LNK إلى PowerShell ثم إلى ملف BAT. لكن في النسخة الأخيرة، تم إضافة مراحل وسيطة تشمل ملف XML، وملف VBS، وملف PS1، وأخيراً ملف BAT، قبل الوصول إلى الحمولة النهائية.
هذه السلسلة الموسعة من المراحل تمنح البرمجية الخبيثة مساحة أكبر للمناورة وتجنب أنظمة الكشف، مما يزيد من تعقيد عملية التتبع ويكشف عن تكتيكات جديدة في عالم الأمن السيبراني. وتُستخدم أسماء ملفات خادعة لمحاكاة مستندات عادية، مثل “Resume (Sungmin Park).hwp.lnk” أو “Guide to Establishing Data Backup and Recovery Procedures (Reference).lnk”، بهدف خداع المستخدمين لحثهم على فتحها.
آلية الإصابة متعددة المراحل
تتكون عملية الإصابة من عدة مراحل مترابطة، صُممت كل منها للانتقال بصمت إلى المرحلة التالية دون إثارة إنذارات أمنية. بعد فتح ملف LNK، يقوم سكربت PowerShell بإنشاء مجلد مخفي ويقوم بحفظ ثلاثة ملفات: ملف XML لجدولة المهام (sch_ha.db)، وسكربت VBS (11.vbs)، وسكربت PowerShell (pp.ps1).
يقوم ملف XML بتسجيل مهمة مجدولة باسم GoogleUpdateTaskMachineCGI، والتي يتم ضبطها لتعمل كل 17 دقيقة، مما يضمن استمرارية عمل البرمجية الخبيثة حتى بعد إعادة تشغيل النظام. وعند تشغيل ملف VBS، يقوم بتشغيل سكربت pp.ps1 الذي يجمع تفاصيل النظام، بما في ذلك اسم المستخدم، والعمليات قيد التشغيل، وإصدار نظام التشغيل، وعنوان IP العام، ومعلومات مكافحة الفيروسات. ثم يتم إرسال البيانات المسروقة إلى المهاجم عبر Dropbox، وهو خدمة سحابية مشروعة تُستخدم هنا للاندماج مع حركة مرور الشبكة الطبيعية وتجنب الاكتشاف.
بالإضافة إلى ذلك، يقوم سكربت PowerShell بتنزيل ملف BAT (hh.bat) من حساب Dropbox الخاص بالمهاجم وتنفيذه. يقوم ملف BAT بسحب جزأين من ملفات ZIP من خوادم بعيدة، ثم يدمجهما ويستخرج الحمولة النهائية إلى مجلد C:winii. يحتوي هذا الأرشيف على باب خلفي بلغة بايثون يُعرف باسم beauty.py، والذي يتم تسجيله كمهمة باسم GoogleExtension ويتم تشغيله عبر مجدول XML.
يتصل الباب الخلفي بعد ذلك بخادم القيادة والتحكم (C2) على العنوان 45.95.186[.]232 المنفذ 8080، ويرسل حزمة “HAPPY” لتأكيد الإصابة، وينتظر الأوامر.
توصيات أمنية
ينصح الخبراء المستخدمين بتجنب فتح ملفات LNK التي يتم استلامها عبر البريد الإلكتروني أو تطبيقات المراسلة، خاصة تلك التي تتنكر في شكل مستندات. وعلى المؤسسات مراقبة “جدولة المهام” في نظام ويندوز بحثاً عن أي إدخالات مشبوهة تحمل أسماء متعلقة بـ Google.
يساهم تحديث أدوات أمن نقطة النهاية بانتظام وحظر الاتصالات الصادرة غير المصرح بها للخدمات غير المعروفة في تقليل مخاطر الاختراق الناجح. وتُعد هذه الإجراءات الوقائية جزءاً أساسياً من استراتيجية الأمن السيبراني الشاملة في ظل التهديدات المتزايدة.