اكتشف فريق البحث والتحليل العالمي لدى كاسبرسكي (GReAT)، حملة جديدة مرتبطة بعملية Operation DreamJob المشبوهة، والمعروفة أيضاً باسم DeathNote، وهو تجمع مرتبط بمجموعة Lazarus سيئة السمعة.
وكانت قد تطورت هذه الحملة بشكل كبير، إذ ظهرت بادئ الأمر في عام 2019، مترافقة مع هجمات تستهدف الشركات المرتبطة بمجال العملات المشفرة حول العالم، وخلال عام 2024، توسع نطاق استهدافاتها ليشمل شركات تكنولوجيا المعلومات والدفاع في كل من أوروبا، وأمريكا اللاتينية، وكوريا الجنوبية، وإفريقيا.
ويقدم تقرير كاسبرسكي، الأحدث، رؤى جديدة إزاء المرحلة الأخيرة من نشاطها، كاشفاً عن حملة تستهدف موظفين عاملين ضمن نفس المنظمة ذات الصلة بالمجال النووي في البرازيل، بالإضافة إلى موظفين في قطاع غير محدد في فيتنام.
وعلى مدى شهر واحد، استهدفت مجموعة Lazarus اثنين من الموظفين على الأقل داخل المنظمة ذاتها، مع تلقيهم لملفات مضغوطة متعددة مموهة على أنها تقييمات مهارات لمناصب في مجال تكنولوجيا المعلومات ضمن شركات بارزة في مجال الطيران والدفاع.
في البداية، قامت Lazarus بتسليم الملف المضغوط الأول إلى الطرفَين المضيفَين A وB داخل نفس المنظمة، وبعد انقضاء شهر، حاولت المجموعة شن هجمات أكثر عدوانية على الهدف الأول، ومن المرجح أنها لجأت لاستخدام منصات البحث عن الوظائف مثل LinkedIn لتسليم التعليمات الأولية والوصول إلى الأهداف.
ووفقا للخبراء، فقد طورت Lazarus أساليب التوصيل التي تتبعها وحسنت من الاستمرارية من خلال سلسلة عدوى معقدة تتضمن أنواع مختلفة من البرمجيات الخبيثة، ومنها مثلاً برنامجاً للتنزيل، وآخر للتحميل، وبرمجية باب خلفي.
كما وأقدمت المجموعة على شن هجوم متعدد المراحل باستخدام برمجية حوسبة شبكة افتراضية (VNC) محقونة ببرمجية حصان طروادة، وأداة عرض سطح المكتب البعيد لنظام التشغيل Windows، وأداة حوسبة شبكة افتراضية مشروعة أخرى لتوصيل البرمجيات الخبيثة.
كما تضمنت المرحلة الأولى ملف AmazonVNC.exe مزود ببرمجية حصان طروادة، والذي تولى مهام فك التشفير وتنفيذ برنامج تنزيل يسمى Ranid Downloader لاستخراج الموارد الداخلية لملف تثبيت لبرمجية حوسبة شبكة افتراضية، واحتوى ملف مضغوط ثانٍ على ملف vnclang.dll خبيث يحمل برمجية MISTPEN الخبيثة، والذي قام عقب ذلك باستحضار حمولات إضافية، بما في ذلك برمجية RollMid وإصدار جديد من LPEClient.
بالإضافة إلى ذلك، قامت المجموعة بنشر باب خلفي غير معروف مسبقاً يعتمد على مكون إضافي، وقد أطلق عليه خبراء فريق البحث والتحليل العالمي اسم CookiePlus، ولقد تم تمويهه على أنه برمجية ComparePlus، وهي مكون إضافي مفتوح المصدر لبرنامج ++Notepad، وبمجرد تثبيت أركانها، تتجه البرمجية الخبيثة لجمع بيانات النظام، بما في ذلك اسم الحاسوب، ومعرف العملية، ومسارات الملفات، وتضع وحدتها الرئيسية في حالة «سكون» لمدة زمنية محددة. كما تقوم بتعديل جدول التنفيذ الخاص بها عن طريق تعديل ملف التكوين.
وحول ذلك، علق سوجون ريو، خبير الأمن في فريق البحث والتحليل العالمي لدى كاسبرسكي، قائلاً: «هناك مخاطر كبيرة، بما فيها سرقة البيانات. ذلك أن عملية Operation DreamJob تقوم بجمع معلومات حساسة عن النظام، يمكن استخدامها لسرقة الهوية أو التجسس، وتسمح قدرة البرمجية الخبيثة على تأخير إجراءاتها بتفادي الاكتشاف في لحظة الاختراق والبقاء على النظام لفترة أطول. ومن خلال تحديد أوقات تنفيذ معينة، يمكن تشغيلها على فترات زمنية قد تسمح لها بتجنب رصدها".
اقرأ أيضا | تستهدف الحكومات والجيوش.. ارتفاع وتيرة حملات التجسس السيبراني بالعالم
إساءة استخدام بيانات الاعتماد تتصدر أنجح أساليب الهجمات السيبرانية| تقرير
«الاتصالات» تفتح باب التسجيل في برنامج التدريب المجاني لطلاب الجامعات
مصر تستضيف اجتماع خبراء لصياغة رؤية عربية تجاه حوكمة الذكاء الاصطناعي
