مجموعة “لازاروس” الكورية الشمالية تستخدم برمجية Medusa لاستهداف قطاع الصحة في الشرق الأوسط والولايات المتحدة

مجموعة "لازاروس" الكورية الشمالية تستخدم برمجية Medusa لاستهداف قطاع الصحة في الشرق الأوسط والولايات المتحدة
مجموعة "لازاروس" الكورية الشمالية تستخدم برمجية Medusa لاستهداف قطاع الصحة في الشرق الأوسط والولايات المتحدة
شارك هذا الخبر

أفاد تقرير صادر عن فريق Symantec وCarbon Black Threat Hunter أن مجموعة Lazarus المرتبطة بكوريا الشمالية، والمعروفة أيضاً بأسماء Diamond Sleet وPompilus، استخدمت برمجية الفدية Medusa في هجوم استهدف كياناً غير مُسمى في الشرق الأوسط. كما رُصدت محاولة غير ناجحة لاختراق مؤسسة صحية في الولايات المتحدة.
برمجية Medusa تُدار وفق نموذج Ransomware-as-a-Service (RaaS) من قبل مجموعة إجرامية تُعرف باسم Spearwing منذ عام 2023، وقد نفذت أكثر من 366 هجوماً حتى الآن، مع متوسط فدية بلغ نحو 260 ألف دولار.

خلفية عن نشاط لازاروس وتحولاته التكتيكية

استخدام الفدية من قبل مجموعات كورية شمالية ليس جديداً؛ ففي عام 2021، نفذ فرع Andariel هجمات باستخدام برمجيات مثل SHATTEREDGLASS وMaui وH0lyGh0st ضد كيانات في كوريا الجنوبية واليابان والولايات المتحدة.
وفي أكتوبر 2024، ارتبطت المجموعة بهجوم باستخدام برمجية Play، ما مثّل انتقالاً من تطوير برمجيات خاصة إلى استخدام أدوات جاهزة. كما كشفت تقارير لاحقة أن مجموعة أخرى تُعرف باسم Moonstone Sleet استهدفت مؤسسات مالية كورية جنوبية باستخدام برمجية Qilin، بعد أن كانت تعتمد على برمجية مخصصة تُسمى FakePenny.

هذه التحولات تشير إلى أن المجموعات الكورية الشمالية باتت تعمل كـ”شركاء” لمجموعات RaaS العالمية، بدلاً من الاستثمار في تطوير أدواتها الخاصة، وهو ما يعكس براغماتية واضحة في تقليل التكاليف وزيادة الفعالية.

أدوات وتقنيات مستخدمة في حملة Medusa

الهجمات الأخيرة تضمنت مجموعة من الأدوات والبرمجيات الخبيثة، أبرزها:

  • RP_Proxy: أداة بروكسي مخصصة.
  • Mimikatz: أداة مفتوحة المصدر لاستخراج بيانات الاعتماد.
  • Comebacker: باب خلفي مخصص للمجموعة.
  • InfoHook: أداة لسرقة المعلومات تُستخدم مع Comebacker.
  • BLINDINGCAN (المعروفة أيضاً بـ AIRDRY أو ZetaNile): حصان طروادة للوصول عن بُعد.
  • ChromeStealer: أداة لاستخراج كلمات المرور المخزنة في متصفح كروم.

هذه الأدوات تُظهر أن لازاروس لا تزال تعتمد على مزيج من البرمجيات المخصصة والمفتوحة المصدر، مع دمجها في سلاسل هجوم معقدة تستهدف جمع البيانات، السيطرة عن بُعد، وابتزاز المؤسسات عبر تشفير أنظمتها.

دلالات الهجمات على قطاع الصحة

اللافت أن بعض مجموعات الفدية العالمية تتجنب استهداف المؤسسات الصحية خشية الضرر على سمعتها، لكن مجموعة لازاروس لا تُبدي أي تحفظات في هذا المجال. فقد شملت الهجمات الأخيرة مؤسسات غير ربحية في قطاع الصحة النفسية، ومراكز تعليمية للأطفال المصابين بالتوحد، ما يعكس غياب أي اعتبارات أخلاقية لدى هذه المجموعة.

وسوم
محمد وهبى
محمد وهبى
المقالات: 927

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة