كشفت أبحاث أمنية حديثة عن استخدام مجموعة Lazarus المرتبطة بكوريا الشمالية لبرمجية خبيثة جديدة تحمل اسم RemotePE، وهي أداة وصول عن بُعد (RAT) تعمل بالكامل في الذاكرة دون أن تترك أي أثر على نظام الملفات. هذا الأسلوب يعكس تطورًا خطيرًا في تكتيكات الهجمات الإلكترونية، خاصة ضد المؤسسات المالية وشركات العملات المشفرة.
سلسلة الهجوم متعددة المراحل
وفقًا لتقرير صادر عن شركة Fox-IT التابعة لمجموعة NCC، فإن الهجوم يعتمد على سلسلة من ثلاث مراحل:
- المرحلة الأولى تبدأ عبر أداة DPAPILoader التي تستخدم واجهة Windows DPAPI لفك تشفير حمولة مخزنة على القرص وتحميلها.
- المرحلة الثانية تتم عبر RemotePELoader، الذي يتصل بخادم تحكم (aes-secure[.]net) لجلب الوحدة الأساسية وتشغيلها في الذاكرة، مع استخدام تقنيات متقدمة لتفادي الكشف مثل Hell’s Gate وتعديل آليات Event Tracing for Windows (ETW).
- المرحلة الثالثة هي تشغيل برمجية RemotePE المكتوبة بلغة C++، والتي تعمل كأداة وصول عن بُعد كاملة الوظائف، قادرة على تنفيذ أوامر متعددة تشمل إدارة الملفات، العمليات، وحدات DLL، إضافة إلى التواصل المستمر مع خادم التحكم.
أساليب الاختراق والخداع
الهجوم يبدأ غالبًا عبر هندسة اجتماعية، حيث يتواصل المهاجمون مع الموظفين المستهدفين عبر تطبيق Telegram متظاهرين بأنهم موظفون في شركات تداول، ثم يحددون اجتماعات عبر نطاقات مزيفة مثل Calendly وPicktime. بعد اختراق الجهاز، تبدأ سلسلة العدوى التي تنتهي بزرع RemotePE في الذاكرة.
البرمجية تدعم ست فئات من الأوامر، من بينها القدرة على حذف الملفات بطريقة معقدة عبر الكتابة فوقها سبع مرات قبل إعادة تسميتها وحذفها، وهي تقنية سبق رصدها في برمجيات مثل PondRAT وPOOLRAT.
خصائص البرمجية وأهدافها
ما يميز RemotePE أنها تعمل فقط في الذاكرة، ما يجعل اكتشافها أصعب بكثير ويقلل من البصمة الجنائية. كما أن تصميمها يتيح للمهاجمين الحفاظ على وصول طويل الأمد إلى الأنظمة المستهدفة، بهدف مراقبة البيئة بهدوء قبل تنفيذ أهداف عالية التأثير مثل سرقة البيانات أو شن هجمات مالية واسعة النطاق.
التقارير تشير إلى أن البرمجية كانت قيد التطوير النشط بين منتصف 2023 ومنتصف 2024، حيث حصل الباحثون على أربع عينات مختلفة تحمل تواريخ تجميع متباينة، ما يعكس استمرار الاستثمار في تطويرها.
دلالات أمنية على استهداف المؤسسات المالية
التركيز على المؤسسات المالية وشركات العملات المشفرة يتماشى مع تاريخ مجموعة Lazarus في استهداف هذه القطاعات لتحقيق مكاسب مالية غير مشروعة. الجمع بين تقنيات مثل التنفيذ في الذاكرة فقط، تجنب أنظمة EDR، والبصمة المنخفضة يجعل من RemotePE أداة مصممة خصيصًا لحملات مراقبة طويلة الأمد ضد أهداف عالية القيمة.
ويشير الباحثون إلى أن نموذج “المهاجم في الحلقة” المستخدم في نشر هذه البرمجية، إضافة إلى انخفاض معدل اكتشافها (حيث لم تُرصد على منصات مثل VirusTotal قبل نشر التقرير)، يؤكد أنها موجهة خصيصًا نحو أهداف استراتيجية ذات أهمية قصوى.
