كشفت شركة الأمن السيبراني NCC Group/Fox-IT عن حملة خبيثة نفذتها مجموعة لازاروس الكورية الشمالية، تضمنت توزيع ثلاث برمجيات خبيثة جديدة عابرة للمنصات هي PondRAT وThemeForestRAT وRemotePE.
الهجوم، الذي رُصد عام 2024، استهدف إحدى المؤسسات العاملة في قطاع التمويل اللامركزي (DeFi)، وأدى في نهاية المطاف إلى اختراق جهاز موظف داخلها. ومن هناك بدأ المهاجمون تنفيذ سلسلة من الأنشطة شملت استكشاف الشبكة الداخلية باستخدام عدة برمجيات وصول عن بُعد (RATs) وأدوات أخرى لسرقة بيانات الاعتماد أو تمرير الاتصالات.
أساليب الدخول الأولي واستغلال الثغرات
اعتمدت المجموعة في البداية على الهندسة الاجتماعية عبر انتحال هوية موظف حقيقي في إحدى شركات التداول على منصة تليغرام، ثم استخدام مواقع مزيفة شبيهة بخدمات Calendly وPicktime لحجز اجتماع مع الضحية.
وعلى الرغم من أن وسيلة الدخول الأولي غير مؤكدة، إلا أن المحللين رجحوا استغلال ثغرة يوم صفر في متصفح Chrome. وبمجرد تحقيق موطئ قدم، جرى نشر أداة تحميل تُعرف باسم PerfhLoader، التي قامت بإنزال برمجية PondRAT باعتبارها نسخة مبسطة من برمجية POOLRAT، إلى جانب أدوات أخرى مثل أداة تصوير الشاشة، ومسجل ضغطات لوحة المفاتيح (Keylogger)، وأداة سرقة بيانات Chrome، وأداة Mimikatz، فضلًا عن أدوات وكيلة مثل FRPC وMidProxy وProxy Mini.
برمجيات خبيثة متعددة المراحل
تُعتبر PondRAT أداة بدائية لكنها قادرة على تنفيذ أوامر أساسية مثل قراءة وكتابة الملفات وتشغيل العمليات وتنفيذ الشيفرة الخبيثة، وتتواصل عبر بروتوكولات HTTP(S) مع خوادم التحكم والسيطرة (C2). وقد استخدمتها لازاروس بالتوازي مع ThemeForestRAT لثلاثة أشهر تقريبًا قبل الانتقال إلى أداة أكثر تطورًا وهي RemotePE.
أما ThemeForestRAT فيتم تحميلها مباشرة في الذاكرة سواء عبر PondRAT أو محمل مخصص، وهي قادرة على تنفيذ ما يصل إلى 20 أمرًا مختلفًا، منها استكشاف الملفات والمجلدات، تنفيذ الأوامر، اختبار الاتصال، التلاعب بالوقت (Timestomping)، تنزيل الملفات، وحقن الشيفرة الخبيثة.
خلفيات مرتبطة بهجمات سابقة
أشارت Fox-IT إلى أن ThemeForestRAT تشترك في سمات تقنية مع برمجية معروفة باسم RomeoGolf، والتي استُخدمت في الهجوم التخريبي على شركة Sony Pictures Entertainment عام 2014، وهو الهجوم الذي وثقته مبادرة Operation Blockbuster.
أما RemotePE، المكتوبة بلغة C++، فتُعد أداة أكثر تعقيدًا ومرونة، تُستخدم على الأرجح ضد الأهداف ذات القيمة العالية. ويتم استدعاؤها عبر سلسلة تحميل معقدة تشمل RemotePELoader وDPAPILoader، في إشارة إلى مستوى متقدم من التخفي والتصعيد المرحلي في العمليات.
تصعيد تدريجي للهجوم
توضح نتائج التحليل أن مجموعة لازاروس اعتمدت على PondRAT كبوابة أولية محدودة الإمكانيات، ثم استخدمت ThemeForestRAT لأداء مهام أكثر تعقيدًا مع البقاء بعيدًا عن الرصد لكونها تُحمّل في الذاكرة فقط، قبل أن تنتقل في المرحلة الأخيرة إلى RemotePE المخصصة للاستهدافات الحساسة، ما يعكس تكتيكًا مرحليًا متطورًا يهدف إلى البقاء أطول فترة ممكنة داخل الشبكة المخترقة.
