كشف باحثون في مجال الأمن السيبراني عن حملة اختراق متطورة تستخدم فيها جهات تهديد سيبراني نفسها وانتحال صفة كتاب بارزين في شبكات تلفزيونية كورية جنوبية، بهدف نشر ملفات ضارة. تم رصد هذه العملية، المعروفة باسم “عملية أرتميس”، كشكل متقدم من أساليب الهندسة الاجتماعية.
تعتمد هذه الحملة على استغلال ثقة الضحايا المحتملين عبر انتحال شخصيات معروفة في المجال الإعلامي، قبل محاولة تثبيت برمجيات خبيثة. تظهر الحملة استراتيجية متعددة المراحل تجمع بين الخداع المتقن وتقنيات التخفي المتقدمة.
جهود جهات التهديد لانتحال صفة كتاب تلفزيونيين
تبدأ الهجمات بتواصل المهاجمين مع الضحايا عبر رسائل بريد إلكتروني تبدو كطلبات مقابلة عمل شرعية أو فرص تعاون مهني. يقدم المهاجمون أنفسهم ككتاب مرموقين يعملون في برامج تلفزيونية كورية جنوبية معروفة، مستخدمين مقترحات تبدو حقيقية وتتعلق بقضايا شمالية أو حقوق الإنسان، لجذب اهتمام المستهدفين.
هذا النهج فعال بشكل خاص لأنه يستهدف أكاديميين وصحفيين وخبراء سياسيين، وهم فئات غالباً ما تتفاعل مع المؤسسات الإعلامية. استخدام مواضيع ذات اهتمام مشترك يزيد من فرصة انخداع الضحايا.
آلية التوزيع والبرمجيات الخبيثة
وفقًا لمحللي Genians، تكمن الخبيث في مستندات HWP (Hangul Word Processor)، وهو تنسيق الملفات القياسي في كوريا الجنوبية. تصل هذه الملفات المسمومة كمرفقات، وتُقدم على أنها استبيانات للمقابلات أو مواد إرشادية للفعاليات. بمجرد فتح الضحية للملف والنقر على الروابط المضمنة، تبدأ سلسلة العدوى في الخلفية دون أن يلاحظها أحد.
من الناحية التقنية، تستخدم الهجمة تقنية “تحميل جانب DLL” (DLL side-loading)، حيث تستغل أدوات نظام شرعية من Microsoft Sysinternals بشكل غير مباشر. يضع المهاجمون ملفات DLL خبيثة بجانب ملفات تنفيذية شرعية، مما يتسبب في تحميل “ويندوز” للمكتبة التالفة بدلاً من الأصلية.
بشكل خاص، يقوم البرمجية الخبيثة بإنشاء ملفات باسم version.dll، والتي تقوم عمليات شرعية مثل vhelp.exe و mhelp.exe بتحميلها. تتيح هذه الطريقة تفادي أدوات الأمان التقليدية التي تعتمد على تحديد التواقيع، حيث تبدو العمليات الأم شرعية لبرامج مكافحة الفيروسات.
التشفير وتقنية التخفي
يستخدم ملف DLL طبقات متعددة من التشفير، غالبًا عبر عمليات XOR مع قيم مفاتيح محددة (مثل 0xFA و 0x29)، لإخفاء غرضه الحقيقي. بناءً على قدرات النظام المستهدف، تختار البرمجية الخبيثة بذكاء بين طرق فك التشفير القياسية (XOR) أو طرق SSE (Streaming SIMD Extensions) عالية السرعة التي تعالج 16 بايت دفعة واحدة.
هذا النهج التكيفي يزيد من سرعة المعالجة مع الحفاظ على التخفي ضد أنظمة الأمان التي تعتمد على مطابقة الأنماط.
تحليل تقني لعملية تحميل جانب DLL
في النهاية، تقوم البرمجية الخبيثة بنشر RoKRAT، وهي أداة متطورة لسرقة البيانات. تتكون سلسلة العدوى من تنفيذ كائن OLE داخل مستندات HWP، يليها نشر ملفات قابلة للتنفيذ وملفات DLL خبيثة في المجلد المؤقت. تمر الحمولة بمراحل متسلسلة من فك تشفير XOR قبل تفعيلها كـ “shellcode” نهائية.
كشفت التحليلات الجنائية أن جهات التهديد كانت تحتفظ ببنية تحتية للتحكم والسيطرة (C2) عبر خدمات Yandex Cloud في روسيا. تُظهر رموز الحساب تواريخ تسجيل تمتد من أكتوبر 2023 إلى فبراير 2025، مما يشير إلى قدرة تشغيلية مستمرة.
ويتطلب الكشف عن هذه الهجمات مراقبة سلوكية من خلال حلول الكشف والاستجابة لنقاط النهاية (EDR) بدلاً من الفحص التقليدي للملفات. يجب على فرق الأمان مراقبة تحميل DLL غير طبيعي من الدلائل المؤقتة، وعمليات فرعية مشبوهة تنشأ من ملفات تنفيذية شرعية، واتصالات صادرة إلى البنية التحتية السحابية فور تنفيذ المستندات.
تؤكد هذه الحملة استمرار جهات التهديد في صقل منهجياتها لاستغلال الثقة والفجوات التقنية في الكشف الأمن عن البيانات.