كشفت نتائج حديثة من مختبرات الأمان المرنة عن اختراق إلكتروني معقد نفذه قراصنة يُعتقد أنهم مرتبطون بمجموعة لازاروس السيئة السمعة في كوريا الشمالية. احتوت هذه العملية، المعروفة بالعلامة التجارية REF7001، على استخدام برنامج ضار جديد يعرف بـ Kandykorn. تم تصميم هذا البرنامج الضار بدقة لاستهداف مهندسي البلوكشين العاملين على منصات تبادل العملات المشفرة.
كشف أساليب البرنامج الضار Kandykorn وتكتيكاته الخادعة
شهدت الحادثة استخدام القراصنة برنامج بيثون مزدوج الغرض متنكرًا كروبوت لتحقيق التحكم الآلي في التشفير. والجانب الفريد في هذا الهجوم هو طريقة التوزيع. قام القراصنة بتوزيع البرامج الضارة عن طريق رسالة خاصة على خادم Discord العام، وهو استراتيجية لا تستخدم عادة في اختراق نظام macOS. وتم إقناع الضحايا بأنهم يقومون بتثبيت روبوت للتحكم الآلي في التشفير، وهو أداة برمجية تستغل الفروق في أسعار العملات المشفرة بين المنصات، حسبما أوضحه الباحثون في مختبرات الأمان المرنة.
عند التثبيت، يبدأ برنامج البرمجيات الضارة Kandykorn في إنشاء اتصال مع خادم التحكم والسيطرة (C2). يستخدم البرنامج الضار RC4 المشفر وآلية مصافحة فريدة. على عكس البرامج الضارة الأخرى التي تبحث بنشاط عن الأوامر، ينتظر Kandykorn بصبر تلقي الأوامر. تسمح هذه الطريقة المبتكرة للقراصنة بالحفاظ على التحكم في الأنظمة المخترقة بسرية.
ربط برنامج Kandykorn بمجموعة لازاروس
قدمت مختبرات الأمان المرنة نظرة مهمة على قدرات Kandykorn، حيث أبرزت كفاءته في تنفيذ تحميل وتنزيل الملفات وتلاعب العمليات وتنفيذ أوامر النظام التعسفية. يشكل استخدام البرنامج الضار للتحميل الثنائي الانعكاسي، وهو تقنية تنفيذ بدون ملف مرتبطة بمجموعة لازاروس، قلقًا خاصًا. فالمجموعة الشهيرة بتورطها في سرقة العملات المشفرة وتهربها من العقوبات الدولية.
هناك أدلة قوية تربط هذا الهجوم بمجموعة لازاروس في كوريا الشمالية. تشير التقنيات المشابهة والبنية التحتية للشبكة والشهادات المستخدمة في توقيع البرامج الضارة والأساليب المخصصة لكشف أنشطة مجموعة لازاروس جميعها إلى تورطهم. أظهرت المعاملات المسجلة على السلسلة أن هناك ارتباطًا بين اختراقات الأمان في Atomic Wallet و Alphapo و CoinsPaid و Stake.com و CoinEx. تؤكد هذه الروابط تورط مجموعة لازاروس في هذه الاستغلالات.
الحماية من التهديدات السيبرانية المتطورة
في حادثة أخرى حدثت مؤخرًا، حاولت مجموعة لازاروس الاختراق الكمبيوترات التي تعمل بنظام macOS من Apple عن طريق إقناع المستخدمين بتنزيل تطبيق تداول عملات مشفرة من GitHub. بمجرد تثبيت المستخدمين للبرنامج ومنحهم الوصول الإداري، حصل المهاجمون على وصول سري إلى نظام التشغيل، مما يتيح الوصول عن بُعد.
من خلال كشف هذه التفاصيل، أضاءت مختبرات الأمان المرنة على التكتيكات المتطورة التي تستخدمها مجموعة لازاروس، مما يؤكد ضرورة اتخاذ تدابير قوية للأمان السيبراني للحماية من مثل هذه التهديدات. لمواكبة هذه التهديدات المتطورة، يُنصح باستخدام أدوات مثل cryptoview.io، التي يمكن أن تساعد في مراقبة وحماية الأصول الرقمية الخاصة بك.
