عرض خصم التراخيص المتعددة
أمن الكمبيوتر قراصنة من كوريا الشمالية يستخدمون برنامج VeilShell...

قراصنة من كوريا الشمالية يستخدمون برنامج VeilShell Backdoor الجديد في هجمات خفية عبر جنوب شرق آسيا

بواسطة Mura في أمن الكمبيوتر
ترجمة الى:
العربية

في كشف جديد مرعب، تم رصد مجموعات تجسس سيبراني كورية شمالية تستخدم برنامجًا خبيثًا جديدًا يسمى VeilShell لتنفيذ هجمات سيبرانية خفية في جميع أنحاء جنوب شرق آسيا. ربط خبراء الأمن هذا النشاط بـ APT37 ، وهي مجموعة قرصنة سيئة السمعة تعمل تحت أسماء مستعارة متعددة، مثل InkySquid وReaper وRedEyes وScarCruft. مع وجود روابط بوزارة أمن الدولة في كوريا الشمالية، كانت APT37 نشطة منذ عام 2012 وهي سيئة السمعة بحملاتها السيبرانية المتطورة التي تستهدف القطاعات الحكومية والشركات.

حملة SHROUDED#SLEEP

أطلق باحثو الأمن على هذه العملية الأخيرة اسم SHROUDED#SLEEP، وهو اسم مناسب للسرية والصبر الذي أظهره هؤلاء المجرمون الإلكترونيون. ويُعتقد أن المجموعة تنفذ هذه الحملة مع التركيز بشكل خاص على كمبوديا ودول أخرى في جنوب شرق آسيا. من خلال الاستفادة من VeilShell، وهو حصان طروادة للوصول عن بعد (RAT) ، يهدف المهاجمون إلى الحصول على السيطرة الكاملة على الأجهزة المخترقة، مع القدرة على استخراج البيانات، والتلاعب بسجلات النظام، وجدولة المهام سراً.

كيف يعمل VeilShell؟

من بين الجوانب البارزة في هذا الهجوم هو كيفية دخول VeilShell إلى الأنظمة المستهدفة. وفي حين لا يزال من غير الواضح كيف يتم تسليم الحمولة الأولية، يشتبه الخبراء في أن المجموعة تستخدم رسائل البريد الإلكتروني الاحتيالية - وهي طريقة مستهدفة للغاية لخداع الأفراد للنقر على الروابط الضارة أو تنزيل الملفات المصابة. من المرجح أن يتم تسليم الحمولة في المرحلة الأولى عبر أرشيف ZIP يحتوي على ملف اختصار Windows (LNK).

بمجرد أن يقوم المستخدم غير المنتبه بتشغيل ملف LNK، فإنه يؤدي إلى سلسلة من الإجراءات. يتم تشغيل رمز PowerShell - وهي لغة برمجة نصية تُستخدم عادةً في بيئات Windows - خلف الكواليس، لاستخراج المزيد من المكونات المخفية داخل الملف. لتجنب إثارة الشكوك، يصرف الهجوم انتباه المستخدم بوثيقة تبدو بريئة، مثل ملف Microsoft Excel أو PDF، بينما يقوم بتثبيت مكونات البرامج الضارة الأكثر خطورة في الخلفية.

يأتي التهديد الحقيقي من DomainManager.dll، وهو ملف ضار يتم وضعه بشكل استراتيجي في مجلد بدء تشغيل Windows، حيث يضمن استمراره من خلال تشغيله في كل مرة يتم فيها إعادة تشغيل النظام. يتواصل هذا الملف مع خادم التحكم عن بعد (C2)، مما يمنح المهاجمين السيطرة على الجهاز المصاب. ومن هناك، يمكنهم التجسس على الملفات، وتحميل البيانات الحساسة، وتنزيل المزيد من الأدوات الضارة، وحتى حذف أو إعادة تسمية الملفات لتغطية آثارهم.

حقن AppDomainManager: تقنية خفية

إن ما يميز هذا الهجوم عن غيره من الهجمات الإلكترونية هو الاستخدام الذكي لتقنية تسمى حقن AppDomainManager. ورغم أن الأمر قد يبدو معقداً، فإن هذه الطريقة تسمح للمهاجمين بتشغيل أكواد ضارة في كل مرة يتم فيها تشغيل برنامج شرعي، دون إثارة أي إنذارات. وقد استخدمت هذه التكتيكات مؤخراً مجموعة أخرى من القراصنة المتحالفين مع الصين، مما يشير إلى أن هذه التقنية تكتسب شعبية بين مجرمي الإنترنت في جميع أنحاء العالم.

اللعبة الطويلة: كيف يتجنب APT37 الكشف عنه

أحد الأسباب التي جعلت هذه الحملة تمر دون اكتشافها لفترة طويلة هو صبر المهاجمين. فبعد نشر VeilShell بنجاح، لا يقومون بتنشيطه على الفور. بل يظل البرنامج الخبيث خاملاً حتى يتم إعادة تشغيل النظام. وهذا التنشيط المتأخر، إلى جانب فترات السكون الطويلة (التوقف المؤقت في التنفيذ)، يجعل من الصعب اكتشاف البرنامج الخبيث بواسطة أدوات الأمان التقليدية. وتساعد هذه التقنيات المتسللين على تجنب الاكتشاف لفترات طويلة، مما يسمح لهم بجمع المعلومات الاستخباراتية والحفاظ على السيطرة على الأنظمة المخترقة.

التداعيات والتهديدات المستقبلية

يضيف هذا الاكتشاف الأخير إلى القلق المتزايد بشأن قدرات كوريا الشمالية السيبرانية. فقد ارتبطت مجموعات مثل APT37 و Lazarus وKimsuky بهجمات سيبرانية ترعاها الدولة بهدف التجسس والمكاسب المالية والتخريب. ومع الاستخدام المتزايد لأدوات متطورة مثل VeilShell، تشكل هذه المجموعات تهديدًا كبيرًا لمشهد الأمن السيبراني العالمي.

ويحذر الخبراء من أن هذه الحملة قد تنتشر بسهولة خارج جنوب شرق آسيا، حيث أن مجموعات القرصنة الكورية الشمالية لديها تاريخ في استهداف مناطق متعددة، بما في ذلك الولايات المتحدة وأوروبا. في الواقع، قبل أيام قليلة من اكتشاف VeilShell، شنت مجموعة كورية شمالية أخرى تُعرف باسم Andariel هجمات ضد منظمات أمريكية في حملة ذات دوافع مالية.

الحماية من VeilShell والتهديدات المماثلة

بالنسبة للمؤسسات والأفراد، يسلط هذا الضوء على أهمية البقاء يقظين ضد محاولات التصيد الاحتيالي والتأكد من تحديث جميع الأنظمة بانتظام بأحدث تصحيحات الأمان. وفيما يلي بعض النصائح للحد من خطر مثل هذه الهجمات:

  1. كن حذرًا من رسائل البريد الإلكتروني غير المتوقعة: إذا تلقيت رسالة بريد إلكتروني تحتوي على ملف مرفق أو رابط لم تكن تتوقعه، ففكر مرتين قبل النقر فوقه.
  2. حافظ على تحديث البرامج: إن تحديث أنظمة التشغيل والتطبيقات بشكل منتظم يمكن أن يساعد في سد الثغرات الأمنية التي يستغلها المهاجمون.
  • استخدم برنامج مكافحة الفيروسات: على الرغم من أنه ليس برنامجًا مضمونًا تمامًا، إلا أن برنامج مكافحة الفيروسات الجيد يمكنه اكتشاف العديد من التهديدات الشائعة وحظرها.
  • تمكين المصادقة الثنائية (2FA): إن إضافة طبقة إضافية من الأمان تجعل من الصعب على المهاجمين الوصول إلى بياناتك، حتى لو سرقوا كلمة مرورك.

    • وفي الختام، فإن برنامج VeilShell الخبيث وحملة SHROUDED#SLEEP تذكرنا بشكل صارخ بالتهديدات المتطورة باستمرار في عالم الأمن السيبراني. ومن خلال توخي الحذر واتخاذ تدابير أمنية استباقية، يمكن للأفراد والشركات أن يظلوا متقدمين بخطوة واحدة على هؤلاء الجهات الفاعلة الخطيرة.

    جار التحميل...