كشفت شركة الأمن السيبراني Gen Digital عن حملة تصيّد تستهدف ضحية واحدة في كوريا الجنوبية، استخدمت ملفًا مضغوطًا متنكّرًا في صورة فاتورة لخدمة VPN لنشر بابٍ خلفي جديد لم يُسجّل سابقًا باسم HttpTroy، يُرجَّح أن مصدره مجموعة Kimsuky المرتبطة بكوريا الشمالية.
ملخص سلسلة العدوى وآلية الإسناد
احتوى الأرشيف المضغوط المزور (“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”) على ملف SCR بنفس الاسم، وعند فتحه انطلقت سلسلة تنفيذ من ثلاث مراحل: مُنزِّل صغير، ثم محمّل يسميه الباحثون MemLoad، ثم الباب الخلفي النهائي HttpTroy. اشتمل المنزّل الأولي، ثنائي مكتوب بلغة Golang، على ثلاثة ملفات مدمجة بينها مستند PDF طُعمي يُعرض للمستخدم لإخفاء النشاط الخبيث.
آلية الاستمرارية والوظائف القابلة للاستغلال
شغّل MemLoad في الخلفية مهمة مجدولة أُطلق عليها اسم “AhnlabUpdate” للتخفي باسم شركة الأمن الكورية AhnLab، ثم فكّ تشفير DLL الخاص بـ HttpTroy ونفذه لإرساء الاستمرارية. يمنح الزرع المهاجمين سيطرة شاملة على النظام المخترق: رفع وتنزيل ملفات، التقاط لقطات شاشة، تنفيذ أوامر بصلاحيات مرتفعة، تحميل وتشغيل ثنائيات في الذاكرة، فتح شل عكسي، إنهاء عمليات، وإزالة آثار التتبّع. تتواصل البرمجية مع خادم القيادة والتحكّم عبر طلبات HTTP POST إلى “load.auraria[.]org”.
خصائص التعتيم والتعقيد التقني
يوضّح الباحث الأمني Alexandru-Cristian Bardaș أن HttpTroy استخدم طبقات متعددة من التعتيم لإعاقة التحليل والكشف؛ فاستدعاءات واجهات برمجة التطبيقات تُخفي عبر تقنيات هاش مخصّصة، والسلاسل النصية تُشوَّه بواسطة عمليات XOR وتعليمات SIMD. بدل إعادة استخدام نفس هاشات API أو السلاسل، تعيد الشفرة بناءها ديناميكيًا أثناء التشغيل باستعمال تراكيب متغيرة من العمليات الحسابية والمنطقية، ما يزيد صعوبة التحليل الثابت واكتشاف السلوك الخبيث.
سياق التهديد: تزامن مع حملات Lazarus وتحديث أدواتها
تزامن تقرير Gen Digital مع كشف عن حملة أخرى نسبت إلى مجموعة Lazarus Group أسفرت عن نشر أدوات مثل Comebacker ونسخة مطوّرة من حصان الوصول البعيد BLINDINGCAN (المعروف أيضًا AIRDRY أو ZetaNile)، حيث استُهدفت جهتان في كندا. استُخدمت متغيرات Comebacker كـ DLL وEXE، أُطلقت عبر خدمات ويندوز و”cmd.exe” بطرق مختلفة، بهدف فك تشفير حمولة مدمجة ونشرها كخدمة. تُظهر وظائف BLINDINGCAN قدرات واسعة تشمل: رفع/تنزيل/حذف ملفات، تعديل سمات الملفات، فهرسة الملفات ومجلداتها بشكل تكراري، جمع بيانات نظامية، سرد العمليات الجارية، تنفيذ أوامر عبر CreateProcessW، تشغيل ثنائيات في الذاكرة، التقاط لقطات وصور من أجهزة الفيديو، تحديث الإعدادات، تغيير دليل العمل، والحذف الذاتي مع مسح الآثار. لم تكشف Gen Digital عن توقيتات دقيقة للحوادث، لكن غياب ثغرات معروفة يشير إلى أن النافذة الأولى للاختراق كانت رسائل تصيّد مستهدفة (spear-phishing).
