Lazarus تعزز قدرات هجوم AppleJeus على شركات العملات الرقمية

نشر فريق البحث والتحليل العالمي التابع لكاسبرسكي في العام 2018 تقريرًا يتعلّق بنتائج عملية AppleJeus التي هدفت إلى سرقة العملات الرقمية ونفذتها مجموعة التهديدات الشهيرة Lazarus. 

تُظهر معلومات جديدة أن العملية مستمرة مع اتخاذ العصابة سيئة السمعة خطوات أكثر حذراً وتكتيكات وإجراءات محسنة، فضلًا عن استخدامها تطبيق التواصل الشهير تيليجرام كأحد نواقل الهجوم الجديدة، ووقعت كيانات في بريطانيا وبولندا وروسيا والصين ضحية لهذه العملية.

وتُعد عصابة أو مجموعة Lazarus واحدة من أكثر الجهات التخريبية نشاطًا وتأثيرًا في مجال التهديدات المتقدمة المستمرة، واستطاعت تنفيذ عدد من الحملات والعمليات التي استهدفت شركات ذات علاقة بمجال العملات الرقمية.

أثناء عملية AppleJeus الأولى في 2018، أنشأت المجموعة شركة عملات رقمية وهمية من أجل تقديم طلباتهم الاحتيالية واستغلال المستوى العالي من الثقة بين الضحايا المحتملين. 

وتميزت هذه العملية ببناء Lazarus أول برمجية خبيثة تستهدف نظام التشغيل macOS وجرى تنزيل التطبيق من قبل مستخدمين لمواقع ويب تابعة لأطراف أخرى وتم إيصال الحمولة البرمجية الخبيثة إلى أجهزة الضحايا عبر ما جرى تمويهه ليبدو تحديثًا منتظمًا للتطبيق، ومكّنت الحمولة المهاجمين من السيطرة الكاملة على أجهزة المستخدمين وسرقة العملات الرقمية.

وحدد باحثو كاسبرسكي تغييرات مهمة في تكتيكات الهجوم الذي شنته المجموعة في عملية لاحقة للأولى، إذ جرى إضفاء بعض التحسينات على الهجوم الذي جرى في 2019 بالرغم من تقليد ناقل البرمجية الخبيثة، وأنشأت Lazarus في هجومها اللاحق مواقع ويب مزيفة للعملات الرقمية اشتملت على روابط إلى قنوات تيليجرام تتبع شركة وهمية وتوصل إلى من يصلون إليها برمجيات خبيثة عبر تطبيق التواصل.

وتألف الهجوم من مرحلتين، كما في عملية AppleJeus الأولى، إذ نزّل المستخدمون أولاً أحد التطبيقات لتعمل أداة تنزيل مرتبطة بالتطبيق على جلب الحمولة التالية من خادم بعيد، ما مكّن المهاجمين في النهاية من التحكّم الكامل في الجهاز المصاب من خلال منفذ خلفي دائم، ولكن حرص المهاجمون هذه المرة على تسليم الحمولة بعناية من أجل تجنب الكشف عنها من قبل الحلول الأمنية المستندة إلى السلوك، وجرت إضافة آلية مصادقة إلى أداة التنزيل في الهجمات التي تستهدف الأجهزة العاملة بنظام التشغيل MacOS، مع تغيير إطار تطوير الهجوم، كما اعتمد في هذه المرّة أسلوب الإصابة من دون ملف. 

وقد تجنّب المهاجمون عند استهداف مستخدمي النظام ويندوز استخدام البرمجية الخبيثة Fallchill التي كانت استخدمت في العملية الأولى، وأنشأوا برمجية خبيثة تعمل فقط على أنظمة محدّدة بعد التحقّق منها إزاء مجموعة من القيم المعطاة، وتثبت هذه التغييرات أن جهة التهديد أصبحت أكثر حذرًا في هجماتها، بعد توظيف أساليب جديدة لتجنب الكشف عنها.

وأجرت Lazarus تعديلات جوهرية في البرمجيات الخبيثة الخاصة بنظام التشغيل macOS وتوسّعت في عدد الإصدارات، وبخلاف ما حدث في الهجوم السابق، الذي استخدمت خلاله Lazarus البرمجية مفتوحة المصدر QtBitcoinTrader لبناء أداة تثبيت خاصة بالنظام macOS، فقد بدأت أثناء العملية اللاحقة باستخدام شيفرتهم البرمجية محلية الصنع لبناء أداة التثبيت الخبيثة، وتدلّ هذه التطورات على أن جهة التهديد ستواصل إنشاء تعديلات على البرمجيات الخبيثة الخاصة بالنظام MacOS وأن اكتشاف كاسبرسكي لها كان نتيجة وسيطة لهذه التغييرات.

وقال سيونغسو بارك الباحث الأمني في كاسبرسكي، إن عملية AppleJeus اللاحقة توضّح أن Lazarus لا تزال تواصل الاستثمار في الهجمات المرتبطة بالعملات الرقمية على الرغم من الركود الكبير في أسواقها، ما يجعل هذه الحملة “أكثر تطوراً”، وأضاف: “تُظهر التغييرات الإضافية وتنويع المجموعة التخريبية في البرمجيات الخبيثة أنه لا يوجد سبب للاعتقاد بأن هذه الهجمات لن تنمو عددًا وخطورة”.

تشتهر مجموعة Lazarus، المرتبطة بكوريا الشمالية، بعملياتها المتطورة وبهجمات التجسّس الإلكتروني والتخريب الإلكتروني، فضلًا عن الهجمات ذات الدوافع المالية. وقد سبق أن أبلغ عدد من الباحثين، بمن فيهم باحثون في كاسبرسكي، عن استهداف هذه المجموعة بنوكًا ومؤسسات مالية كبيرة أخرى.

وتوصي كاسبرسكي شركات العملات الرقمية باتخاذ التدابير التالية للحماية من هذه الهجمات وأية هجمات مماثلة:

• تقديم التدريب التوعوي الأمني الأساسي لجميع الموظفين حتى يتمكنوا بطريقة أفضل من تمييز محاولات الخداع.
• إجراء تقييم لأمن التطبيقات. قد يساعد على إظهار الاعتمادية للمستثمرين المحتملين.
• رصد الثغرات الناشئة في بيئات تنفيذ العقود الذكية.

توصي كاسبرسكي المستهلكين الذين يبحثون في إمكانية شراء عملات رقمية أو يخططون له، باتباع التالي:

• استخدام منصات عملات رقمية معروفة وموثوق بها.
• تجنّب النقر على روابط تدعي أنها تصل المستخدم ببنك أو محفظة عبر الإنترنت.
• استخدم حل أمني موثوق به، مثل Kaspersky Security Cloud، للحماية الشاملة من مجموعة واسعة من التهديدات.