تستخدم الحملة بشكل مكثف مجلدات Dropbox ونصوص PowerShell لتجنب الاكتشاف، كما يتم التخلص بسرعة من مكونات البنية التحتية بعد بدء الباحثين في التحقيق.
هجمات كيمسوكي وأحدث أساليب التهرب من الاكتشاف
تزداد وتيرة استخدام مجموعات التهديد السيبراني المرتبطة بكوريا الشمالية لتقنيات “العيش من البيئة” (LotL) والخدمات الموثوقة لإخفاء أنشطتها، حيث أظهرت حملة كيمسوكي الأخيرة استخدام نصوص PowerShell وتخزين البيانات في مجلدات Dropbox، إلى جانب تحسين الأمن التشغيلي.
تفاصيل حملة DEEP#DRIVE
في هذه الحملة، التي أطلقت عليها شركة Securonix الأمنية اسم “DEEP#DRIVE”، استخدم المهاجمون مستندات مزيفة مثل سجلات العمل والتأمين وملفات متعلقة بالعملات المشفرة لخداع المستخدمين لتنزيل وتشغيل ملف اختصار مضغوط يقوم بجمع معلومات تكوين النظام، ثم تنفيذ نصوص PowerShell و .NET. بعد ذلك، يتم تحميل بيانات النظام إلى مجلدات Dropbox، وتنزيل أوامر إضافية لتعزيز الاختراق.
التركيز على التجسس وسرقة البيانات
في حين أبدى المهاجمون بعض الاهتمام بالمكاسب المالية السريعة – مثل استهداف مستخدمي العملات المشفرة – إلا أن تركيزهم الأساسي كان على سرقة بيانات حساسة من وكالات حكومية وشركات كورية جنوبية.
يقول تيم بيك، الباحث الأمني البارز في Securonix:
“لاحظنا أدلة على وجود دافع مزدوج: التجسس والربح المالي، ولكن كان التركيز الأكبر على التجسس، وهو ما يتماشى مع تاريخ كيمسوكي في استهداف الوكالات الحكومية الكورية الجنوبية والشركات والصناعات الاستراتيجية.”
ارتفاع نشاط كيمسوكي في السنوات الأخيرة
لطالما استهدفت مجموعات الهجمات السيبرانية الكورية الشمالية كلًا من كوريا الجنوبية والولايات المتحدة، حيث كانت الوكالات الحكومية والشركات الكورية الجنوبية من بين الأهداف الأكثر شيوعًا.
في سبتمبر 2024، حذرت FBI من أن مجموعات قرصنة كورية شمالية تخطط لشن هجمات مكثفة على المؤسسات التي تمتلك احتياطيات كبيرة من العملات المشفرة. كما أطلق كيمسوكي هجومًا متعدد المراحل العام الماضي ضد أهداف كورية جنوبية.
كيمسوكي: مجموعة تهديدات متعددة
وفقًا لشركة Recorded Future المتخصصة في استخبارات التهديدات، فإن كيمسوكي ليست مجموعة موحدة، بل تتألف من خمس مجموعات فرعية تتداخل مع بعضها البعض.
- إحدى المجموعات تركز على قطاعي الرعاية الصحية والضيافة.
- مجموعة أخرى تستهدف أسواق العملات المشفرة.
بحلول منتصف عام 2023، أصبحت كيمسوكي المجموعة الأكثر نشاطًا من بين المجموعات الكورية الشمالية، وفقًا لتقرير “استراتيجية كوريا الشمالية السيبرانية” الصادر عن Recorded Future.
حملة DEEP#DRIVE قد تكون أصابت آلاف الضحايا
بعد اختراق جهاز الضحية، تقوم أدوات الهجوم بتحميل بيانات تكوين النظام إلى مجلدات Dropbox محددة. وقد كشفت أبحاث Securonix عن أكثر من 8000 ملف تكوين، رغم أن بعض الملفات كانت مكررة.
يقول تيم بيك:
“تم تحديد هوية الضحايا من خلال اسم المستخدم وعنوان IP. بعض أسماء المستخدمين كانت مرتبطة بعشرات عناوين IP، مما قد يشير إلى انتشار الهجوم داخل نفس المؤسسة.”
تشمل البيانات المسروقة عنوان IP للجهاز، ومدة التشغيل، وتفاصيل نظام التشغيل، والبرمجيات الأمنية المثبتة، وقائمة العمليات الجارية.
تحسين أمن العمليات لدى كيمسوكي
أظهرت هذه الحملة أن مجموعات القرصنة الكورية الشمالية أصبحت أكثر تطورًا في إخفاء عملياتها. فقد استخدم المهاجمون مصادقة OAuth على مجلدات Dropbox الخاصة بهم، مما منع أدوات الأمن من تتبع الروابط. كما أزالوا بسرعة بعض مكونات البنية التحتية بمجرد أن بدأ الباحثون في التحقيق.
كيف يمكن للشركات حماية نفسها؟
لتقليل مخاطر الاختراق، ينصح الخبراء الشركات بتطبيق الإجراءات التالية:
- تعطيل إخفاء امتدادات الملفات لحظر تشغيل الملفات الضارة.
- منع تنفيذ ملفات الاختصار (.LNK) في مجلدات المستخدم.
- السماح فقط بتنفيذ نصوص PowerShell الموقعة لمنع تشغيل التعليمات البرمجية غير الموثوقة.
كما يُنصح الشركات المستهدفة – مثل منصات العملات المشفرة والوكالات الحكومية – بتعزيز أمان البريد الإلكتروني وتدريب الموظفين بانتظام على كيفية اكتشاف هجمات التصيد الإلكتروني (Phishing).
يقول ميتش هازارد، محلل الاستخبارات الأمنية في Recorded Future:
“لا تزال معظم الهجمات السيبرانية الكورية الشمالية تبدأ بالتصيد الإلكتروني، لذا من الضروري أن تمتلك الشركات حلول أمان متقدمة للبريد الإلكتروني، وتجري تدريبات دورية للموظفين، بالإضافة إلى اختبارات تصيد وهمية.”
