forceCopy Stealer

تم اكتشاف أن مجموعة القرصنة المرتبطة بكوريا الشمالية Kimsuky تستخدم هجمات التصيد الاحتيالي لتوزيع برنامج ضار جديد لسرقة المعلومات يسمى forceCopy. تبدأ هذه الهجمات برسائل بريد إلكتروني احتيالية تحتوي على ملف اختصار Windows (LNK) مقنع، مصمم ليبدو وكأنه مستند Microsoft Office أو PDF. يقوم المستلمون غير المنتبهين الذين يفتحون الملف دون علمهم بإطلاق سلسلة من ردود الفعل التي تنفذ أوامر ضارة.

استغلال الأدوات المشروعة لإيصال الحمولات المهددة

بمجرد تفاعل المستخدم مع المرفق الضار، تبدأ عملية العدوى بتشغيل PowerShell أو "mshta.exe"، وهي أداة مساعدة شرعية لنظام التشغيل Windows تُستخدم لتشغيل ملفات تطبيق HTML (HTA). تتيح هذه التقنية للمهاجمين جلب ونشر حمولات برامج ضارة إضافية من مصدر خارجي دون إثارة الشكوك.

نشر أحصنة طروادة وأدوات سطح المكتب البعيد

وتؤدي الهجمات في النهاية إلى نشر تهديدات معروفة، بما في ذلك حصان طروادة PEBBLEDASH ونسخة معدلة من RDP Wrapper، وهي أداة مفتوحة المصدر تستخدم للوصول إلى سطح المكتب عن بعد. وإلى جانب ذلك، يتم تقديم برامج ضارة بالوكالة لضمان اتصال مستمر بين الجهاز المخترق والشبكة الخارجية للمهاجمين عبر بروتوكول سطح المكتب البعيد (RDP).

مسجل المفاتيح وforceCopy: استهداف بيانات الاعتماد المخزنة

كما تم رصد كيمسوكي وهو يستخدم برنامج تسجيل مفاتيح قائم على PowerShell لالتقاط ضغطات المفاتيح، مما يعزز قدرته على سرقة المعلومات الحساسة. بالإضافة إلى ذلك، تم تصميم برنامج forceCopy الخبيث المكتشف حديثًا خصيصًا لاستخراج الملفات المخزنة في أدلة متصفح الويب. وهذا يشير إلى محاولة لتجاوز القيود الأمنية والوصول مباشرة إلى ملفات تكوين المتصفح حيث يتم تخزين بيانات اعتماد تسجيل الدخول غالبًا.

تحول استراتيجي: استخدام RDP للتحكم في المضيف

إن اعتماد المجموعة على RDP Wrapper والبرامج الضارة بالوكالة يسلط الضوء على التحول التكتيكي في عملياتها. في السابق، كانت Kimsuky تستخدم في المقام الأول أبوابًا خلفية مصممة خصيصًا للتحكم في الأنظمة المصابة. والآن، من خلال الاستفادة من الأدوات المتاحة على نطاق واسع، تهدف إلى الحفاظ على الثبات مع تقليل فرص الكشف.

APT43: تهديد تجسس إلكتروني طويل الأمد

يُعتقد أن مجموعة كيمسوكي، المعروفة أيضًا بأسماء مستعارة مثل APT43 وBlack Banshee وEmerald Sleet، تعمل تحت إشراف مكتب الاستطلاع العام في كوريا الشمالية (RGB)، وهو جهاز الاستخبارات الأجنبية الرائد في البلاد. تعمل المجموعة منذ عام 2012 على الأقل، ولديها تاريخ طويل في تنفيذ هجمات هندسية اجتماعية متطورة لتجاوز دفاعات أمان البريد الإلكتروني.

توسيع العمليات من خلال حملات التصيد الاحتيالي المستندة إلى روسيا

تشير النتائج الأخيرة إلى أن كيمسوكي كانت تستخدم رسائل البريد الإلكتروني الاحتيالية المرسلة من خدمات البريد الإلكتروني الروسية لتنفيذ حملات سرقة بيانات الاعتماد. يعكس هذا التكيف، الذي لوحظ في ديسمبر 2024، التكتيكات المتطورة للمجموعة مع استمرارها في تحسين تقنيات الهندسة الاجتماعية الخاصة بها لاستهداف الأفراد والمؤسسات ذات القيمة العالية.