مجموعة كوني الكورية الشمالية تستهدف أوكرانيا ببرمجيات خبيثة لتتبع تقدم الغزو الروسي

كشفت شركة الأمن السيبراني “بروفبوينت” (Proofpoint) عن حملة تصيد إلكتروني جديدة تنفذها مجموعة “كوني” (Konni APT) المرتبطة بكوريا الشمالية، مستهدفةً كيانات حكومية في أوكرانيا. هذه الحملة تهدف إلى جمع معلومات استخباراتية حول “مسار الغزو الروسي”، مما يكشف عن توسع نطاق عمليات التجسس الكورية الشمالية خارج روسيا.

من هي مجموعة كوني (Konni APT)؟

• أسماء أخرى: أوبال سليت (Opal Sleet)، أوزميوم (Osmium)، TA406، فيداليا (Vedalia).

• النشاط: تعمل منذ 2014 على الأقل، مع تاريخ من استهداف حكومات كوريا الجنوبية، الولايات المتحدة، وروسيا.

• الأدوات: تستخدم برنامج Konni RAT (المعروف أيضاً باسم UpDog) وصفحات احتيالية لسرقة بيانات الاعتماد.

تفاصيل الهجوم الأخير على أوكرانيا

طريقة الهجوم:

1. رسائل تصيد إلكتروني:

   • تنتحل صفة “باحث أول” في معهد وهمي يُدعى “المعهد الملكي للدراسات الاستراتيجية”.

   • تحتوي الرسائل على رابط لأرشيف RAR مشفر بكلمة مرور، مخزن على خدمة MEGA السحابية.

2. آلية العدوى:

   • عند فتح الأرشيف، يُنفذ ملف CHM يُظهر محتوىً خادعاً عن القائد العسكري الأوكراني فاليري زالوجني.

   • النقر على أي مكان في الصفحة يُنشط أوامر PowerShell لتحميل حمولة خبيثة إضافية.

3. جمع المعلومات:

   • تقوم البرمجية الخبيثة بجمع بيانات النظام، تشفيرها بـ Base64، وإرسالها إلى خادم المهاجم.

تكتيكات متطورة:

• إرسال رسائل متابعة إذا لم يقم الضحية بالنقر على الرابط.

• استخدام ملفات HTML مرفقة مباشرةً تحتوي على روابط خبيثة.

أهداف الهجوم: لماذا أوكرانيا؟

وفقاً لتحليل بروفبوينت:

• المجموعة تجمع معلومات استراتيجية لمساعدة القيادة الكورية الشمالية في تقييم:

  • المخاطر على قواتها الموجودة في المنطقة.

  • احتمالية طلب روسيا مزيداً من الجنود أو الأسلحة.

• على عكس المجموعات الروسية التي تركز على المعلومات التكتيكية الميدانية، فإن TA406 تهتم بجمع معلومات سياسية واستراتيجية طويلة الأمد.

هجمات متزامنة على كوريا الجنوبية

1. حملة كيمسوكي (Kimsuky):

• تستخدم أرشيفات ZIP تحتوي على ملفات LNK خبيثة.

• تُنفذ أوامر PowerShell لتحميل برمجيات تجسس قادرة على سرقة:

  • بيانات المتصفح.

  • محافظ العملات الرقمية.

2. عملية “قصة صندوق الألعاب” (Operation ToyBox Story):

• نفذتها مجموعة APT37 (المعروفة أيضاً باسم ScarCruft).

• استهدفت نشطاء معادين لكوريا الشمالية عبر:

  • روابط Dropbox تؤدي إلى ملفات LNK خبيثة.

  • تنفيذ برمجية RoKRAT لسرقة لقطات الشاشة وبيانات النظام.

كيف تحمي نفسك من هذه الهجمات؟

1. للأفراد والشركات:

   • عدم فتح مرفقات من مرسلين غير موثوقين.

   • تحديث أنظمة التشغيل وبرامج مكافحة الفيروسات.

2. للحكومات والكيانات الحساسة:

   • تدريب الموظفين على التعرف على رسائل التصيد.

   • استخدام مصادقة متعددة العوامل (MFA) لحماية الحسابات.

الخاتمة: لماذا يجب أن نقلق؟

هذه الهجمات تؤكد أن كوريا الشمالية تستغل الصراعات العالمية لتعزيز أجندتها الاستخباراتية. في ظل تصاعد التوترات الجيوسياسية، يُتوقع أن تزداد حملات التجسس الإلكتروني تعقيداً، مما يتطلب تعاوناً دولياً لمواجهتها.