قدمت مجموعة Lazarus Group، وهي مجموعة قرصنة كورية شمالية، متغيرًا جديدًا للبرامج الضارة يُعرف باسم LightlessCan في مخططات التوظيف الاحتيالية الخاصة بها.

على عكس الأمثلة السابقة لبرامج Lazarus الضارة، تشكل هذه البرامج الضارة الجديدة تحديًا كبيرًا للكشف عنها.

الكشف الأول

كشف بيتر كالناي، كبير باحثي البرمجيات الخبيثة في شركة ESET، عن هذه النتائجفي منشور بتاريخ 29 سبتمبر بعد تحليل هجوم وظيفي وهمي على شركة طيران إسبانية.

يتضمن النهج النموذجي الذي تتبعه مجموعة Lazarus Group إغراء الضحايا بعروض عمل مغرية في شركات ذات سمعة طيبة، وخداعهم لتنزيل حمولات ضارة متخفية في شكل مستندات.

تم الاتصال بالضحية في هذه الحالة عبر LinkedIn Messaging، وهي إحدى الميزات الموجودة في منصة التواصل الاجتماعي الاحترافية LinkedIn.

لقد تلقوا تحديين للبرمجة كجزء من عملية التوظيف، حيث قام الضحية بتنزيلهما وتنفيذهما على جهاز الشركة. كان أحد التحديات هو المشروع الأساسي الذي يعرض عبارة "Hello, World!" النص، بينما طبع الآخر تسلسل فيبوناتشي.

تعاونت شركة ESET Research مع شركة الطيران المتضررة لإعادة بناء خطوات الوصول الأولية وتحليل مجموعة أدوات Lazarus Group.

LightlessCan

يطلق عليها اسم "LightlessCan". بواسطة فريق ESET، تمثل البرامج الضارة تحسنًا ملحوظًا مقارنة بسابقتها، BlindingCan.

وأوضح كالناي أن LightlessCan يمكنه محاكاة العديد من أوامر Windows الأصلية، مما يسمح بالتنفيذ السري داخل حصان طروادة للوصول عن بعد (RAT) نفسه، مما يقلل من نشاط وحدة التحكم المزعج.

بالإضافة إلى ذلك، تشتمل البرمجيات الخبيثة الجديدة على "حواجز حماية التنفيذ" للتأكد من أن جهاز الضحية المقصود فقط هو الذي يمكنه فك تشفير الحمولة.

كل هذا يساعد في منع فك التشفير غير المقصود من قبل الباحثين الأمنيين.

يشكل هذا التخفي المعزز تحديات أمام حلول المراقبة في الوقت الفعلي مثل سجلات EDR وأدوات الطب الشرعي الرقمية بعد الوفاة.

مجموعة لازاروس

مجموعة Lazarus، المعروفة أيضًا باسم HIDDEN COBRA، هي مجموعة تجسس إلكتروني كورية شمالية لها تاريخ يعود إلى عام 2009 على الأقل.

من الجدير بالذكر أن المتسللين الكوريين الشماليين قد سرقوا ما يقرب من 3.5 مليار دولار من مشاريع العملات المشفرة منذ عام 2016، وفقًا لشركة التحاليل الجنائية الخاصة ببلوكتشين تشيناليسيس يوم 14 سبتمبر.

ذكرت Coinlive سابقًا كيف قامت مجموعة Lazarus Group بغارة بقيمة 55 مليون دولار على بورصة العملات المشفرة CoinEx.

وتدرك الأمم المتحدة التهديد الذي يشكله هذا التنظيم الجماعي، وتعمل بنشاط للحد من تكتيكات الجرائم الإلكترونية التي تمارسها كوريا الشمالية على نطاق دولي.

وتعتقد الأمم المتحدة أن الأموال المسروقة جاريةتستخدم لدعم برنامج الصواريخ النووية لكوريا الشمالية .