مجموعة Lazarus تستهدف ست شركات كورية جنوبية عبر ثغرات Cross EX وInnorix وبرمجية ThreatNeedle الخبيثة

مجموعة Lazarus تستهدف ست شركات كورية جنوبية عبر ثغرات Cross EX وInnorix وبرمجية ThreatNeedle الخبيثة
مجموعة Lazarus تستهدف ست شركات كورية جنوبية عبر ثغرات Cross EX وInnorix وبرمجية ThreatNeedle الخبيثة
شارك هذا الخبر

كشفت شركة Kaspersky عن حملة تجسسية سيبرانية جديدة أطلقتها مجموعة Lazarus المرتبطة بكوريا الشمالية، واستهدفت خلالها ست مؤسسات كورية جنوبية ضمن عملية تحمل اسم Operation SyncHole.

استهداف قطاعات حيوية في كوريا الجنوبية

استهدفت الهجمات قطاعات رئيسية تشمل البرمجيات، وتكنولوجيا المعلومات، والقطاع المالي، وصناعة أشباه الموصلات، والاتصالات. وقد رصدت أولى مؤشرات الاختراق في نوفمبر 2024، حسب التقرير الصادر عن Kaspersky اليوم.

ووفقًا للباحثين الأمنيين سوجون ريو وفاسيلي بيردنـيكوف، اعتمدت الحملة على استراتيجية “ثقب الري” (watering hole) بالتزامن مع استغلال ثغرات برمجية في برامج كورية جنوبية محلية، بما في ذلك ثغرة zero-day في برنامج Innorix Agent استُخدمت لتنفيذ حركة جانبية داخل الشبكات المخترقة.

أدوات هجومية معروفة تعود للظهور

أظهرت التحقيقات استخدام المجموعة لمجموعة من الأدوات الخبيثة المرتبطة بها مسبقًا، منها:

  • ThreatNeedle

  • AGAMEMNON

  • wAgent

  • SIGNBT

  • COPPERHEDGE

وتبرز فعالية هذه الهجمات في استغلالها لثغرة أمنية ضمن برنامج Cross EX، وهو برنامج شرعي واسع الاستخدام في كوريا الجنوبية، خصوصًا في الخدمات البنكية الحكومية والمصادقات الرقمية، لتوفير الحماية ضد أدوات تسجيل المفاتيح وتوقيع الشهادات الرقمية.

استغلال متقدم لبرمجيات محلية

ذكرت Kaspersky أن مجموعة Lazarus تُظهر فهمًا عميقًا للبنية التحتية الرقمية في كوريا الجنوبية، وتستخدم تكتيكات مخصصة تعتمد على ثغرات البرامج المحلية المقترنة بهجمات “ثقب الري”، وهي طريقة يتم فيها اختراق مواقع إلكترونية يزورها الهدف عادةً لتثبيت برمجيات خبيثة عليه.

ويُشار إلى أن مجموعة فرعية من Lazarus تُعرف باسم Andariel سبق أن استخدمت أسلوبًا مشابهًا لنشر برمجيات مثل Volgmer وAndardoor عبر استغلال ثغرات في برنامج Innorix.

تسلسل العدوى: من وسائل الإعلام إلى التنفيذ

بدأت الحملة من خلال مواقع إعلامية كورية جنوبية تم التلاعب بها. وعند زيارة المستخدمين لهذه المواقع، يتم فلترة الضحايا المحتملين عبر سكربت من جانب الخادم، قبل تحويلهم إلى نطاق تابع للمهاجمين يُستخدم لتوزيع البرمجيات الخبيثة.

وأوضح الباحثون:

نُرجّح بدرجة ثقة متوسطة أن الموقع المحول إليه يقوم بتشغيل سكربت خبيث يستهدف ثغرة في برنامج Cross EX المثبت على جهاز الضحية، ومن ثم إطلاق البرمجية الخبيثة.

يقوم السكربت بتشغيل ملف SyncHost.exe الشرعي ثم يحقن shellcode لتحميل نسخة من برمجية ThreatNeedle داخل تلك العملية.

مراحل متعددة للهجوم

تم رصد الهجوم على مرحلتين:

  • المرحلة الأولى تضمنت نشر ThreatNeedle وwAgent.

  • المرحلة الثانية استخدمت SIGNBT وCOPPERHEDGE لتعزيز الاستمرارية، وإجراء استطلاع داخلي، وتنفيذ أدوات سرقة بيانات الاعتماد.

كما تم توظيف برمجيات إضافية مثل:

  • LPEClient لجمع معلومات عن الضحايا وتحميل حمولات خبيثة.

  • أداة تحميل تُعرف باسم Agamemnon لتنزيل وتشغيل حمولات إضافية من خوادم التحكم، مع استخدام تقنية Hell’s Gate لتجاوز حلول الحماية أثناء التنفيذ.

استغلال ثغرة Innorix في التنقل الجانبي

أظهرت التحقيقات أن إحدى الحمولات التي نُزّلت باستخدام Agamemnon صُممت خصيصًا لاستغلال ثغرة أمنية في أداة نقل الملفات Innorix Agent، مما مكّن المهاجمين من التحرك داخل الشبكات. وقد كشفت Kaspersky عن ثغرة zero-day أخرى في Innorix تتيح تنزيل ملفات عشوائية، وتم إصلاحها لاحقًا من قبل المطورين.

التوقعات المستقبلية: استمرار استهداف سلاسل التوريد

أكدت Kaspersky أن:

الهجمات المتخصصة التي تنفذها مجموعة Lazarus لاستهداف سلاسل التوريد في كوريا الجنوبية من المتوقع أن تستمر في المستقبل.

وأضافت أن المهاجمين يسعون إلى تقليل فرص الاكتشاف من خلال تطوير برمجيات جديدة أو تحسين البرمجيات الحالية، لا سيما من حيث:

  • تحسين أساليب الاتصال بخوادم التحكم (C2).

  • إعادة هيكلة أوامر التحكم.

  • تعديل طرق إرسال واستقبال البيانات.

وسوم
Master dv
Master dv
المقالات: 1

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة