دوريان البرمجيات الخبيثة
استخدمت مجموعة التهديد الكورية الشمالية Kimsuky مؤخرًا برنامجًا ضارًا جديدًا قائمًا على Golang يُسمى Durian في عمليات إلكترونية محددة تستهدف شركتين للعملات المشفرة في كوريا الجنوبية. Durian عبارة عن برنامج ضار متقدم يتمتع بقدرات خلفية واسعة النطاق، مما يسمح له بتنفيذ الأوامر وتنزيل الملفات وجمع البيانات من الأنظمة المخترقة.
جدول المحتويات
ناقل العدوى لتسليم البرامج الضارة دوريان
ووقعت هذه الحوادث في أغسطس ونوفمبر 2023، وتضمنت استغلال برمجيات شرعية حصرية لكوريا الجنوبية كوسيلة للإصابة. لم يتم الكشف بعد عن الطريقة المحددة المستخدمة لاستغلال هذا البرنامج بشكل كامل من قبل الباحثين.
ما هو مفهوم هو أن هذا البرنامج ينشئ اتصالاً مع خادم المهاجم، والذي يقوم بعد ذلك باسترداد حمولة غير آمنة لبدء عملية الإصابة. تعمل المرحلة الأولية بمثابة أداة تثبيت لمزيد من البرامج الضارة وتثبت ثباتها على المضيف المتأثر. كما أنه يسهل أيضًا نشر برنامج محمل ضار يؤدي في النهاية إلى تنفيذ دوريان.
برامج ضارة إضافية يستخدمها المهاجمون إلى جانب دوريان
يستخدم المهاجمون Durian لنشر برامج ضارة إضافية، بما في ذلك AppleSeed (الباب الخلفي المفضل لدى Kimsuky)، وأداة وكيل مخصصة تسمى LazyLoad، إلى جانب الأدوات الشرعية مثل ngrok وChrome Remote Desktop. كان الهدف هو سرقة البيانات المخزنة في المتصفح مثل ملفات تعريف الارتباط وبيانات اعتماد تسجيل الدخول.
إحدى النقاط المثيرة للاهتمام في الهجوم هي استخدام LazyLoad، المرتبط سابقًا بـ Andariel ، وهي مجموعة فرعية ضمن مجموعة L azarus . يشير هذا إلى وجود تعاون محتمل أو توافق تكتيكي بين الجهات التهديدية هذه.
يظل Kimsuky لاعبًا رئيسيًا في مسرح الجرائم الإلكترونية
مجموعة Kimsuky، النشطة منذ عام 2012 على الأقل، معروفة أيضًا بأسماء مستعارة مختلفة، بما في ذلك APT43، وBlack Banshee، وEmerald Sleet (Thallium سابقًا)، وSpringtail، وTA427، وVelvet Chollima. ويُعتقد أنها تعمل تحت إشراف مركز الأبحاث رقم 63، وهو قسم من مكتب الاستطلاع العام (RGB)، أعلى منظمة استخباراتية عسكرية في كوريا الشمالية.
وفقًا لتحذير مشترك صادر عن مكتب التحقيقات الفيدرالي الأمريكي (FBI) ووكالة الأمن القومي (NSA)، فإن الهدف الأساسي لكيمسوكي هو توفير البيانات المسروقة والرؤى الجيوسياسية للنظام الكوري الشمالي. إنهم يحققون ذلك من خلال المساومة على محللي السياسات والخبراء. تسمح الحلول الوسط الناجحة للجهات الفاعلة في Kimsuky بتطوير رسائل بريد إلكتروني للتصيد الاحتيالي أكثر إقناعًا لاستهداف الأفراد ذوي القيمة الأعلى.
ارتبط Kimsuky أيضًا بحملات تتضمن حصان طروادة للوصول عن بعد والمعتمد على C# ومجمع معلومات يُعرف باسم TutorialRAT. تستخدم هذه البرامج الضارة Dropbox كمنصة لشن هجمات تهدف إلى تجنب اكتشاف التهديدات. تستخدم هذه الحملة، التي تذكرنا بحملة التهديد BabyShark التابعة لـ APT43، تقنيات التصيد الاحتيالي الشائعة، بما في ذلك استخدام ملفات الاختصار (LNK).
