مختبرات الأمن المرنة لديهاحددت برامج ضارة فريدة من نوعها والتي تستهدف على وجه التحديد مهندسي blockchain في منصات تبادل العملات المشفرة.
يستخدم هذا الهجوم مزيجًا من الأساليب الخادعة والأدوات التقليدية للوصول غير المصرح به إلى أنظمة الكمبيوتر واستخراج البيانات الحساسة.
تم اكتشاف استخدام أداة التطفل عبر الإنترنت لأول مرة أثناء التحقيق في نشاط الخلفية لجهاز كمبيوتر Macintosh.
بدأ الهجوم من خلال برنامج مزيف يتنكر في هيئة أداة لتوليد أرباح العملات المشفرة، ويتم توزيعه عبر رسائل مباشرة على Discord.
تُنسب إلى مجموعة يُعتقد أنها تعمل من جمهورية كوريا الشعبية الديمقراطية (أي كوريا الشمالية)، فهي تشترك في أوجه تشابه كبيرة مع مجموعة لازاروس.
يعتمد ذلك على تحليل المنهجيات وهياكل الشبكات والشهادات الرقمية وإجراءات الكشف الفريدة المتعلقة بمجموعة Lazarus.
وقد أطلقت شركة Elastic على هذا الشكل المحدد من التطفل اسم "REF7001".
كيف قامت مجموعة Lazarus باختراق البورصة؟
بدأ كل شيء ببساطة.
افترضت الجهات الفاعلة الخبيثة هويات مزيفة داخل مجموعة Discord المخصصة للمناقشات حول البرامج المتعلقة بالعملات المشفرة.
كما هو الحال مع معظم البرامج الضارة، فقد تلاعبوا بفرد غير متوقع لتنزيل ملف يبدو غير ضار، والذي كان في الواقع يحتوي على تعليمات برمجية ضارة.
كان لدى الضحية انطباع بأنهم كانوا يحصلون على روبوت تحكيم للعملات المشفرة، والذي كان قادرًا على اكتشاف فروق الأسعار بين البورصات والاستفادة من الفروق.
عند فتح هذا الملف، تبدأ المرحلة الأولية من الهجوم، والمعروفة باسم "KANDYKORN". بدأ.
لتنفيذ الهجوم، كان مطلوبًا من الضحية تشغيل برنامج.
ومن خلال لعب دوره في خداع الضحية، بدا البرنامج الأصلي غير ضار لأنه استورد ملفات أخرى وقام بتنفيذ عمليات تبدو روتينية.
وسيلعب المستخدم بعد ذلك، دون قصد، دورًا حاسمًا في تشغيل هذا البرنامج، والمشاركة في إجراءات تبدو روتينية والتي كانت في الواقع ضرورية لنجاح الهجوم.
وبعد تنفيذ الضحية لهذا البرنامج، تم تنفيذ هجوم REF7001 عبر خمس مراحل منفصلة.
المراحل الخمس للهجوم
المرحلة الأولى - التحضير:
سيقوم البرنامج الأصلي بتشغيل برنامج آخر بشكل منفصل. سيقوم هذا البرنامج المحدد بتقييم بيئة الكمبيوتر وإعداده للمرحلة التالية من الهجوم.
المرحلة الثانية - تحميل البرامج الضارة الإضافية:
بمجرد التأكد من بيئة الكمبيوتر، سيقوم ملفان آخران، وهما عبارة عن نصوص بايثون الوسيطة، بتنزيل وتشغيل برنامج يعرف باسم "SUGARLOADER".
المرحلة 3 - محمل السكر:
سيقوم هذا البرنامج بتنفيذ المزيد من العمليات السرية. وتسهيل تحميل المرحلة النهائية "كانديكورن".
المرحلة الرابعة – التمويه كالخلاف:
ملف اسمه "HLOADER/Discord(fake)" سوف يتظاهر بعد ذلك بأنه برنامج Discord الشرعي. لقد كان بمثابة خدعة للحفاظ على وجود البرنامج المخادع "SUGARLOADER" على نظام الضحية.
المرحلة الخامسة - "كانديكورن"
بمجرد التسلل، سوف تمتلك KANDYKORN مجموعة واسعة من القدرات. ويمكنه تلقي أوامر منفصلة، مثل التنزيل من كمبيوتر آخر. سيكون أيضًا قادرًا على التحقق من تفاصيل الكمبيوتر، وإرسال واستقبال المعلومات إلى كمبيوتر آخر، وحتى منح التحكم في الكمبيوتر إلى محطة طرفية أخرى. باختصار، خرق كامل.
يتتبع Elastic الحملة إلى أبريل 2023.
لقد فعلوا ذلك من خلال تحليل مفتاح التشفير المستخدم لتأمين اتصالات SUGARLOADER وKANDYKORN C2.
لا يزال التهديد نشطًا، ويبدو أنه مستمر في التطور في كل من الأدوات والتقنيات.
مجموعة لازاروس
Lazarus هي مجموعة تجسس إلكترونية معروفة في كوريا الشمالية.
لديهم تاريخ يعود إلى عام 2009 على الأقل.
نظرًا للعقوبات المحيطة بكوريا الديمقراطية، فإن هدفهم هو سرقة العملات المشفرة - حيث أن استخدام العملة الرقمية يساعدهم على التهرب من مثل هذه العقوبات الدولية.
يُزعم أن المتسللين الكوريين الشماليين قد سرقوا ما يقرب من 3.5 مليار دولار من مشاريع العملات المشفرة منذ عام 2016، وذلك بناءً على تقارير من شركة الطب الشرعي blockchain Chainalogy يوم 14 سبتمبر.
وتتكهن الأمم المتحدة بأن الأموال المسروقة تستخدم لدعم برنامج الصواريخ النووية لكوريا الشمالية.
كوين لايفالمذكور سابقا حول كيفية استخدام مجموعة Lazarus لـ LinkedIn لإصابة أجهزة الكمبيوتر بالبرامج الضارة.
Bernice
JinseFinance
cryptopotato
Beincrypto
decrypt
Cointelegraph
Others
Finbold