رصدت مجموعة Lazarus استهداف المهندسين النوويين ببرامج ضارة من نوع CookiePlus

لوحظ أن مجموعة لازاروس، وهي جهة تهديد سيئة السمعة مرتبطة بجمهورية كوريا الشعبية الديمقراطية، تستفيد من “سلسلة عدوى معقدة” تستهدف اثنين على الأقل من الموظفين ينتمون إلى منظمة غير مسماة ذات صلة بالمجال النووي خلال فترة شهر واحد في عام 2018. يناير 2024.

الهجمات التي بلغت ذروتها بنشر باب خلفي معياري جديد يشار إليه باسم CookiePlus، هي جزء من حملة تجسس إلكتروني طويلة الأمد تُعرف باسم Operation Dream Job، والتي يتم تتبعها أيضًا باسم NukeSped بواسطة شركة الأمن السيبراني Kaspersky. ومن المعروف أنه نشط منذ عام 2020 على الأقل، عندما تم كشفه بواسطة ClearSky.

غالبًا ما تتضمن هذه الأنشطة استهداف المطورين والموظفين في شركات مختلفة، بما في ذلك الدفاع والفضاء والعملات المشفرة وغيرها من القطاعات العالمية، مع توفير فرص عمل مربحة تؤدي في النهاية إلى نشر البرامج الضارة على أجهزتهم.

“Lazarus مهتمة بتنفيذ هجمات سلسلة التوريد كجزء من حملة DeathNote، لكن هذا يقتصر في الغالب على طريقتين: الأولى هي عن طريق إرسال مستند ضار أو عارض PDF مصاب بفيروس طروادة يعرض الأوصاف الوظيفية المخصصة للهدف”. شركة روسية قال في تحليل شامل.

“والثاني هو عن طريق توزيع أدوات الوصول عن بعد من طروادة مثل VNC أو PuTTY لإقناع الأهداف بالاتصال بخادم معين لتقييم المهارات.”

تتضمن أحدث مجموعة من الهجمات التي وثقتها كاسبرسكي الطريقة الثانية، حيث يستفيد الخصم من سلسلة عدوى مُجددة بالكامل تقدم أداة VNC مصابة بفيروس طروادة بحجة إجراء تقييم للمهارات لشغل وظائف تكنولوجيا المعلومات في شركات الطيران والدفاع البارزة.

تجدر الإشارة إلى أن استخدام Lazarus Group للإصدارات المارقة من تطبيقات VNC لاستهداف المهندسين النوويين قد تم تسليط الضوء عليه مسبقًا من قبل الشركة في أكتوبر 2023 في تقرير اتجاهات APT الخاص بها للربع الثالث من عام 2023.

وقال الباحثان فاسيلي بيردنيكوف وسوجون ريو: “قام لازاروس بتسليم ملف الأرشيف الأول إلى شخصين على الأقل داخل نفس المنظمة (سنسميهما المضيف أ والمضيف ب)”. “بعد شهر، حاولوا شن هجمات أكثر كثافة على الهدف الأول”.

يُعتقد أن تطبيقات VNC، وهي نسخة طروادة من TightVNC تسمى “AmazonVNC.exe”، قد تم توزيعها في شكل صور ISO وملفات ZIP. وفي حالات أخرى، تم استخدام إصدار شرعي من UltraVNC لتحميل ملف DLL ضار معبأ داخل أرشيف ZIP.

يعمل ملف DLL (“vnclang.dll”) كمحمل لباب خلفي يُطلق عليه اسم MISTPEN، والذي تم اكتشافه بواسطة Mandiant المملوكة لشركة Google في سبتمبر 2024. إنه يتتبع مجموعة الأنشطة تحت اللقب UNC2970. من جانبه، وجد أن MISTPEN يقدم حمولتين إضافيتين تحملان الاسم الرمزي RollMid ومتغيرًا جديدًا من LPEClient.

وقالت Kaspersky إنها لاحظت أيضًا نشر البرنامج الضار CookieTime على المضيف A، على الرغم من أن الطريقة الدقيقة التي تم استخدامها لتسهيل ذلك لا تزال غير معروفة. أولاً اكتشف من قبل الشركة في سبتمبر ونوفمبر 2020، تم تسمية CookieTime بهذا الاسم لاستخدامه قيم ملفات تعريف الارتباط المشفرة في طلبات HTTP لجلب التعليمات من خادم الأوامر والتحكم (C2).

كشف المزيد من التحقيقات في سلسلة الهجوم أن جهة التهديد انتقلت أفقيًا من المضيف A إلى جهاز آخر (المضيف C)، حيث تم استخدام CookieTime مرة أخرى لإسقاط حمولات مختلفة بين فبراير ويونيو 2024، كما يلي –

• LPEClient، برنامج ضار يأتي مزودًا بإمكانيات التعرف على المضيفين المخترقين
• ServiceChanger، برنامج ضار يقوم بإيقاف خدمة مشروعة مستهدفة وذلك لتجاهل ملف DLL المارق المضمن بداخلها باستخدام الملف القابل للتنفيذ عبر التحميل الجانبي لـ DLL
• Charamel Loader، برنامج ضار للتحميل يقوم بفك تشفير وتحميل الموارد الداخلية مثل CookieTime وCookiePlus وForestTiger
• CookiePlus، وهو برنامج خبيث جديد قائم على المكونات الإضافية ويتم تحميله بواسطة كل من ServiceChanger وCharamel Loader

وأشار الباحثون إلى أن “الفرق بين كل ملف تعريف ارتباط يتم تحميله بواسطة Charamel Loader وServiceChanger هو طريقة تنفيذه. فالأول يعمل كملف DLL وحده ويتضمن معلومات C2 في قسم الموارد الخاص به”.

“يقوم الأخير بجلب ما تم تخزينه في ملف خارجي منفصل مثل msado.inc، مما يعني أن CookiePlus لديه القدرة على الحصول على قائمة C2 من كل من المورد الداخلي والملف الخارجي. وبخلاف ذلك، فإن السلوك هو نفسه.”

حصلت CookiePlus على اسمها من حقيقة أنها كانت متخفية في شكل مكون إضافي مفتوح المصدر لـ Notepad ++ يسمى قارن بلس عندما تم اكتشافه في البرية لأول مرة. وفي الهجمات التي استهدفت الكيان المرتبط بالطاقة النووية، تبين أنها تعتمد على مشروع آخر اسمه مغلفة DirectX.

تعمل البرمجيات الخبيثة بمثابة أداة تنزيل لاسترداد حمولة مشفرة بـ Base64 ومشفرة بـ RSA من خادم C2، والتي يتم بعد ذلك فك تشفيرها وفك تشفيرها لتنفيذ ثلاثة أكواد قشرة مختلفة أو ملف DLL. تم تجهيز رموز القشرة بميزات لجمع معلومات النظام وجعل وحدة CookiePlus الرئيسية تنام لعدد معين من الدقائق.

يُشتبه في أن CookiePlus هو خليفة لـ MISTPEN بسبب التداخلات السلوكية بين عائلتي البرمجيات الخبيثة، بما في ذلك الجانب الذي تنكرت فيه كل منهما كمكونات إضافية لبرنامج Notepad++.

وقال كاسبرسكي: “على مدار تاريخها، استخدمت مجموعة Lazarus عددًا صغيرًا فقط من أطر البرامج الضارة المعيارية، مثل Mata وGopuram Loader”. “حقيقة أنهم يقدمون برامج ضارة جديدة، مثل CookiePlus، تشير إلى أن المجموعة تعمل باستمرار على تحسين ترسانتها وسلاسل العدوى الخاصة بها لتجنب اكتشافها بواسطة المنتجات الأمنية.”

تأتي هذه النتائج في الوقت الذي كشفت فيه شركة استخبارات بلوكتشين تشيناليسيس أن الجهات الفاعلة في مجال التهديد المرتبطة بكوريا الشمالية قد سرقت 1.34 مليار دولار عبر 47 عملية اختراق للعملات المشفرة في عام 2024، ارتفاعًا من 660.50 مليون دولار في عام 2023. وشمل ذلك الاختراق الذي حدث في مايو 2024 لبورصة العملات المشفرة اليابانية، DMM Bitcoin، والذي عانى خسارة 305 مليون دولار في ذلك الوقت.

وقالت الشركة: “لسوء الحظ، يبدو أن هجمات العملات المشفرة في كوريا الديمقراطية أصبحت أكثر تكرارًا”. قال. “من الجدير بالذكر أن الهجمات التي تتراوح قيمتها بين 50 و100 مليون دولار، وتلك التي تزيد قيمتها عن 100 مليون دولار، حدثت بشكل متكرر في عام 2024 أكثر مما كانت عليه في عام 2023، مما يشير إلى أن كوريا الشمالية تتحسن وأسرع في عمليات الاستغلال واسعة النطاق.”