يشهد عالم الأمن السيبراني تحولًا مستمرًا في تكتيكات التهديد، ولا سيما من مجموعات مرتبطة بجمهورية كوريا الديمقراطية الشعبية (DPRK). هذا المقال يقدم تحليلًا شاملاً وموجهًا لمحترفي الأمن والقارئ العام على حد سواء، ويعتمد على تقارير من GitLab وSentinelOne وZscaler وGenians وS2W.
توسعت هجمات مجموعات مثل Lazarus وKimsuky وScarCruft (APT37) من مجرد استهداف مطوري البرمجيات إلى مهاجمة قطاعات أقل تقنية مثل التسويق والتداول في الشركات العاملة في مجال العملات المشفرة والتجزئة. أحدث الموجات استخدمت أدوات مثل BeaverTail (سارق معلومات) وInvisibleFerret (باب خلفي)، مع اعتماد تقنيات ClickFix وملفات مؤرشفة محمية بكلمات مرور، إلى جانب Deepfake وChatGPT لرفع مصداقية الهجوم.
ما هو BeaverTail وInvisibleFerret؟
BeaverTail
هي برمجية خبيثة مكتوبة بلغة JavaScript تعمل كسارق معلومات وتقوم بدور downloader لتحميل حمولات إضافية. انتشرت عبر حزم ملوثة على npm وتطبيقات مؤتمرات فيديو مزيفة مثل FCCCall وFreeConference.
InvisibleFerret
باب خلفي مبني بـ Python يمنح المهاجمين تحكمًا عن بُعد في الأنظمة المصابة، وغالبًا ما يتم تنزيله وتشغيله بواسطة BeaverTail.
سلسلة العدوى (Infection Chain) الخاصة بحملة BeaverTail وInvisibleFerret
يستخدم المهاجمون خدعة ClickFix لتوزيع البرمجيات الخبيثة على أنظمة تشغيل مختلفة (macOS، Windows، Linux).
تبدأ سلسلة الهجوم بأمر ClickFix command كمرحلة أولى للخداع، حيث يختلف تنفيذها باختلاف أنظمة التشغيل: على macOS، يتم استخدام حزمة التثبيت nvidia.pkg تليها سكربتات preinstall و downx64.sh لتحميل نسخة BeaverTail Mach-O، والتي تؤدي لاحقًا إلى تشغيل InvisibleFerret.
أما على Windows، فيتم تنزيل أرشيف nvidia.tar.gz يليه سكربت update.vbs (Visual Basic Script) لتشغيل ملف تنفيذي nvidiasdk.exe يحتوي على BeaverTail PE، ومنه يتم تحميل InvisibleFerret. وفي Linux، يُستخدم سكربتات piped bash script 208 و209 لتشغيل نسخة BeaverTail JavaScript عبر ملف linvidia.
تقنية ClickFix وأساليب الهندسة الاجتماعية
تعتمد أساليب ClickFix على صفحات تحقق مزيفة (CAPTCHA-like) أو رسائل خطأ وهمية لإقناع الضحية بتنفيذ أوامر على جهازه. في بعض الهجمات، يُطلب من المستخدم تشغيل أوامر نظام تشغيل محددة لحل "مشكلة ميكروفون" مفترضة، مما يؤدي إلى تنزيل سكربتات مثل AutoIt أو Visual Basic التي تقوم بتنفيذ حمولة خبيثة.
كما تم استخدام صفحات توظيف مزيفة مبنية على منصات مثل Vercel لتوزيع برمجيات مجمّعة بنظام PyInstaller أو pkg تعمل على Windows وmacOS وLinux، مما يسهل استهداف ضحايا ليس لديهم أدوات تطوير مثبتة.
لماذا توسعت الأهداف لتشمل التسويق والتداول؟
بحسب تقرير GitLab، هناك تحول تكتيكي لاستهداف المسوقين ومتخصصي التداول في شركات العملات المشفرة والتجزئة. الأسباب تتمثل في أن هذه الفئات غالبًا ما تكون متاحة عبر منصات التوظيف، وتتعامل مع معلومات حساسة أو وصول إلى منصات مالية، كما أن الأدوات المجمعة تزيد فرص نجاح الهجمة على أنظمة ليس عليها بيئة تطوير.
مخطط هجوم سيبراني من مجموعة Kimsuky باستخدام التصيد الاحتيالي والبرمجيات الخبيثة
توضح الصورة سلسلة هجوم سيبراني متقدم تقوده مجموعة القرصنة الشهيرة Kimsuky، والتي تعتمد على أساليب التصيد الاحتيالي (Spear Phishing) وخداع الضحايا عبر روابط مزيفة مثل liveml.cafe24.com وversonnex74.fr. تبدأ العملية بإرسال رسائل بريد إلكتروني تحتوي على مرفقات أو روابط خبيثة.
في الحالة 1، يتم استخدام روابط مزيفة وتقنية تجاوز reCAPTCHA المعروفة باسم ClickFix لخداع المستخدمين وتحميل ملفات .BAT ضارة.
في الحالة 2، يتم استخدام تقنيات مثل ChatGPT DeepFake لإنشاء بطاقات هوية مزيفة تزيد من مصداقية الرسائل الاحتيالية.
أما الحالة 3 فتتضمن إرسال ملفات مضغوطة .ZIP تحتوي على اختصارات .LNK التي تؤدي إلى تشغيل سكريبتات ضارة.
بعد التنفيذ، يتم تنزيل وتشغيل سكريبتات AutoIt3 الخبيثة، والتي تضمن ثبات البرمجيات الضارة عبر إنشاء مهام مجدولة باستخدام Schtasks وتشغيل ملفات مثل HncUpdateTray.exe. الهدف النهائي للهجوم هو السيطرة على جهاز الضحية، سرقة بياناته، والحفاظ على وجود مستمر داخل النظام.
دمج التزييف العميق وChatGPT في حملات التصيد
استخدمت مجموعة Kimsuky صورًا وبطاقات هوية مزيفة مُنشأة باستخدام تقنيات الذكاء الاصطناعي (Deepfake) وChatGPT لخداع أهداف محددة، خاصة العاملين في قطاعات ذات حساسية عالية مثل الدفاع. هذا العنصر زاد من مصداقية رسائل التصيد وجعلها أكثر فاعلية.
حالة ScarCruft: CHILLYCHINO وFadeStealer
شهدت حملات ScarCruft استخدام برمجيات جديدة منها CHILLYCHINO المكتوبة بلغة Rust، وFadeStealer القادرة على تسجيل ضغطات المفاتيح والتقاط لقطات شاشة وتسريبها داخل أرشيفات RAR محمية بكلمة مرور. هذا يشير إلى تنويع أدوات الهجوم وتحول جزئي نحو أنشطة مالية وربما برامج فدية.
تحليل التكتيكات التشغيلية والمرونة البنية التحتية
أظهرت التحقيقات المشتركة أن المهاجمين يقومون بتحليل معلومات CTI قبل شراء أو نشر بنى تحتية جديدة، ويعتمدون على استبدال البنى التحتية الممسوحة بسرعة بعد عمليات takedown بدلاً من صيانة الأصول القديمة. هذا يقلل من مخاطر الكشف ولكنه يتطلب موارد متكررة.
دروس وإجراءات وقائية (لغير المتخصصين)
فيما يلي مجموعة من الإجراءات العملية التي يمكن لأي مستخدم أو مؤسسة تطبيقها للحد من مخاطر هذه الهجمات:
- لا تثق بالروابط أو المرفقات الواردة من مرسِل غير معروف، وتحقق من عناوين البريد الإلكتروني بعناية.
- تجنّب تنزيل برامج أو تحديثات من منصات توظيف أو مواقع غير موثوقة.
- استخدم مضاد فيروسات حديث وأنظمة كشف التهديدات (EDR) فعالة.
- تفعيل التحقق ذو العاملين (2FA) على الحسابات الحساسة.
- التدريب الدوري للموظفين على كشف الهندسة الاجتماعية والتزييف العميق.
- مراقبة الاتصال بمنافذ وخدمات غير معتادة، وخصوصًا اتصالات GitHub وapi.github.com.
خاتمة
إن مزيج البرمجيات الخبيثة المتطورة، وتقنيات الهندسة الاجتماعية مثل ClickFix، ودمج الذكاء الاصطناعي في بناء لقطات مزيفة، يجعل تهديدات DPRK أكثر مرونة وخطورة. اعتماد نهج وقائي متعدد الطبقات، والاستثمار في التدريب ومراقبة البنية التحتية، يظل السبيل الأكثر فاعلية لمواجهة هذه الهجمات.
