مستهدفة البنوك.. عصابة Lazarus تظهر في ثوب جديد

صورة توضيحية

1/12/2020 4:37:53 PM
تكنولوجيا

ظهرت خلال الأيام الأخيرة معلومات جديدة حول عمليات سرقة للعملات الرقمية تنفذها مجموعة التهديدات الشهيرة Lazarus، وهو ما كشف عنه تقرير صادر عن فريق البحث والتحليل التابع لكاسبرسكي المتخصصة في الأمن الرقمي

وأوضح تقرير كاسبرسكي، أن هذه العملية مستمرة مع اتخاذ العصابة خطوات أكثر حذرًا وتكتيكات وإجراءات محسنة، فضلًا عن استخدامها تطبيق التواصل الشهير Telegram كأحد نواقل الهجوم الجديدة، كما وقعت كيانات في بريطانيا وبولندا وروسيا والصين ضحية لهذه العملية.

وتُعدّ عصابة أو مجموعة Lazarus واحدة من أكثر الجهات التخريبية نشاطًا وتأثيرًا في مجال التهديدات المتقدمة المستمرة، واستطاعت تنفيذ عدد من العمليات التي استهدفت شركات ذات علاقة بمجال العملات الرقمية، خلال عملية AppleJeus  الأولى في 2018، وأنشأت المجموعة شركة عملات رقمية وهمية؛ لتقديم طلباتهم الاحتيالية واستغلال المستوى العالي من الثقة بين الضحايا المحتملين.

وتميزت هذه العملية ببناء Lazarus، أول برمجية خبيثة تستهدف نظام التشغيل macOS، وتم تنزيل التطبيق من قبل مستخدمين لمواقع ويب تابعة لأطراف أخرى، وإيصال الحمولة البرمجية الخبيثة إلى أجهزة الضحايا عبر ما جرى تمويهه ليبدو تحديثًا منتظمًا للتطبيق.

ومكنت الحمولة المهاجمين من السيطرة الكاملة على أجهزة المستخدمين وسرقة العملات الرقمية.

ومنع باحثو كاسبرسكي حدوث تغييرات هامة في تكتيكات الهجوم الذي شنته المجموعة في الأيام الأولى من 2020، إذ جرى إضفاء بعض التحسينات على الهجوم الذي تم في 2019، بالرغم من تقليد ناقل البرمجية الخبيثة.

وأنشأت Lazarus في هجومها اللاحق مواقع ويب مزيفة للعملات الرقمية، اشتملت على روابط إلى قنوات Telegram تتبع شركة وهمية وتوصل إلى من يصلون إليها برمجيات خبيثة عبر تطبيق التواصل.

وتكون الهجوم من مرحلتين، كما في عملية AppleJeus الأولى، إذ نزّل المستخدمون أولاً أحد التطبيقات لتعمل أداة تنزيل مرتبطة بالتطبيق على جلب الحمولة التالية من خادم بعيد، ما مكّن المهاجمين في النهاية من التحكّم الكامل في الجهاز المصاب، من خلال منفذ خلفي دائم، ولكنهم حرصوا هذه المرة على تسليم الحمولة بعناية؛ لتجنب الكشف عنها من قبل الحلول الأمنية المستندة إلى السلوك.

وتم إضافة آلية مصادقة إلى أداة التنزيل في الهجمات التي تستهدف الأجهزة العاملة بنظام التشغيل MacOS، مع تغيير إطار تطوير الهجوم، كما اعتمد في هذه المرّة أسلوب الإصابة من دون ملف

وتجنب المهاجمون عند استهداف مستخدمي النظام Windows ، استخدام البرمجية الخبيثة Fallchill، والتي تم استخدامها في العملية الأولى، وأنشأوا برمجية خبيثة تعمل فقط على أنظمة محددة بعد التحقق منها إزاء مجموعة من القيم المعطاة، وأثبتت هذه التغييرات أن جهة التهديد أصبحت أكثر حذرًا في هجماتها، بعد توظيف أساليب جديدة لتجنب الكشف عنها.

وأجرتLazarus، تعديلات جوهرية في البرمجيات الخبيثة الخاصة بنظام التشغيل macOS، وتوسعت في عدد الإصدارات، وبخلاف ما حدث في الهجوم السابق، الذي استخدمت خلاله Lazarus البرمجية مفتوحة المصدر QtBitcoinTrader، لبناء أداة تثبيت خاصة بالنظام macOS، فقد بدأت خلال العملية اللاحقة باستخدام شيفرتهم البرمجية محلية الصنع لبناء أداة التثبيت الخبيثة، وتدل هذه التطورات على أن جهة التهديد ستواصل إنشاء تعديلات على البرمجيات الخبيثة الخاصة بالنظام  MacOS، وأن اكتشاف كاسبرسكي لها كان نتيجة وسيطة لهذه التغييرات.

وقال سيونغسو بارك الباحث الأمني في كاسبرسكي، إن عملية AppleJeus اللاحقة توضح أن Lazarus لا تزال تواصل الاستثمار في الهجمات المرتبطة بالعملات الرقمية على الرغم من الركود الكبير في أسواقها، ما يجعل هذه الحملة أكثر تطورًا.

وتشتهر مجموعة Lazarus، المرتبطة بكوريا الشمالية، بعملياتها المتطورة، وهجمات التجسس والتخريب الإلكتروني، فضلًا عن الهجمات ذات الدوافع المالية، وقد سبق أن أبلغ عدد من الباحثين، عن استهداف هذه المجموعة لبنوك ومؤسسات مالية كبيرة أخرى.

وأوصت كاسبرسكي، شركات العملات الرقمية باتخاذ التدابير التالية للحماية من هذه الهجمات وأية هجمات مماثلة:

- تقديم التدريب التوعوي الأمني الأساسي لجميع الموظفين، حتى يتمكنوا بطريقة أفضل من تمييز محاولات الخداع.

- إجراء تقييم لأمن التطبيقات، ما يساعد على إظهار الاعتمادية للمستثمرين المحتملين.

- رصد الثغرات الناشئة في بيئات تنفيذ العقود الذكية.

كما وجهت كاسبرسكي المستهلكين الذين يبحثون في إمكانية شراء عملات رقمية، باتباع التالي:

- استخدام منصات عملات رقمية معروفة وموثوق بها.

- تجنب النقر على روابط تدعي أنها تصل المستخدم ببنك أو محفظة عبر الإنترنت.

- استخدم حل أمني موثوق به، مثل Kaspersky Security Cloud، للحماية الشاملة من مجموعة واسعة من التهديدات.

اليوم الجديد