أصبحت مجموعة التهديدات الكورية الشمالية المعروفة باسم “مجموعة لازاروس” تستخدم منصة إدارية عبر الويب لمراقبة وإدارة بنيتها التحتية الخاصة بالتحكم والسيطرة (C2)، مما يمنحهم القدرة على الإشراف المركزي على جميع جوانب حملاتهم الهجومية.

تفاصيل الهجمات الأخيرة

وفقًا لتقرير جديد نشرته The Hacker News، أشار فريق STRIKE من شركة SecurityScorecard إلى أن كل خادم C2 استضاف منصة إدارية عبر الويب مبنية بتطبيق React وواجهة برمجة تطبيقات Node.js. وقد تم وصف هذا الإطار الخفي كنظام شامل ومركز يسمح للمهاجمين بتنظيم وإدارة البيانات المسروقة، والحفاظ على السيطرة على الأنظمة المخترقة، والتعامل مع تسليم البرمجيات الخبيثة.

الحملة المستهدفة

تم تحديد المنصة الإدارية عبر الويب في سياق حملة هجوم على سلسلة التوريد أطلق عليها اسم “عملية الدائرة الوهمية” (Operation Phantom Circuit)، التي تستهدف قطاع العملات المشفرة والمطورين في جميع أنحاء العالم. وقد تضمنت الحملة نسخًا مصابة ببرمجيات خلفية من حزم برمجيات شرعية.

جرت هذه الحملة بين سبتمبر 2024 ويناير 2025، ويُقدر أنها استهدفت 233 ضحية حول العالم، حيث كانت البرازيل وفرنسا والهند من بين الدول الأكثر تضررًا. في يناير وحده، استهدفت الحملة 110 ضحية فريدة في الهند.

الروابط إلى بيونغ يانغ

تعود أصول العملية إلى كوريا الشمالية من خلال استخدام شبكة Astrill VPN، التي سبق ربطها بمخطط تكنولوجيا المعلومات المزيف، واكتشاف ستة عناوين IP تابعة لكوريا الشمالية كانت تنشئ اتصالات عبر عقد خروج Astrill VPN ونقاط النهاية الخاصة بـ Oculus Proxy.

أشارت شركة SecurityScorecard إلى أن “الحركة المشفرة وصلت في النهاية إلى بنية التحكم والسيطرة التي استضافتها خوادم Stark Industries، مما سهل تسليم البرمجيات الخبيثة وإدارة الضحايا واستغلال البيانات.”

تحليل وتداعيات

كشفت المزيد من التحليلات للمكون الإداري أنه يسمح للمهاجمين بعرض البيانات المسروقة من الضحايا، بالإضافة إلى البحث والتصفية للبيانات ذات الاهتمام. من خلال دمج البرمجيات الخبيثة المخفية في حزم البرمجيات الشرعية، تمكنت لازاروس من خداع المستخدمين لتشغيل التطبيقات المخترقة، مما أتاح لهم سرقة البيانات الحساسة وإدارة الضحايا عبر خوادم التحكم والسيطرة (C2) عبر المنفذ 1224.

إجمالاً، أثرت البنية التحتية للحملة على أكثر من 233 ضحية حول العالم، حيث تم تتبع البيانات المسروقة إلى كوريا الشمالية عبر شبكة متداخلة من شبكات Astrill VPN والوكيل الوسيط.

دعوة للتفاعل

مع تزايد تعقيد الهجمات الإلكترونية، ما هي الخطوات التي يجب أن تتخذها المؤسسات لحماية بنيتها التحتية من تهديدات مثل تلك التي تشنها مجموعة لازاروس؟ شارك آرائك وأفكارك في التعليقات.

لمزيد من الأخبار الحصرية حول الأمن السيبراني، تابعونا على تويتر وفيسبوك.