كشفت مجموعة التهديدات السيبرانية المعروفة باسم مجموعة لازاروس عن استخدام منصة إدارية تعتمد على الويب للإشراف على بنيتها التحتية للتحكم والسيطرة (C2). يتيح هذا الأمر للمهاجمين الإشراف المركزي على جميع جوانب حملاتهم الهجومية.

تفاصيل الهجوم

وفقًا لتقرير جديد من فريق STRIKE التابع لشركة SecurityScorecard، كل خادم C2 استضاف منصة إدارية مبنية بتطبيق React وواجهة برمجة تطبيقات Node.js. هذا الهيكل الإداري كان متسقًا عبر جميع الخوادم التي تم تحليلها، حتى مع تنوع المهاجمين في استخدام الحمولة وتغيير تقنيات التمويه لتجنب الكشف.

السياق المستهدف

تضمنت الحملة هجومًا على سلسلة التوريد يُعرف بـ عملية الدائرة الخفية (Operation Phantom Circuit)، مستهدفة قطاع العملات المشفرة والمطورين حول العالم عبر نسخ مزيفة من حزم البرامج الشرعية تحتوي على أبواب خلفية.

وقعت الحملة بين سبتمبر 2024 ويناير 2025، وتسببت في إصابة 233 ضحية حول العالم، مع تواجد الأغلبية في البرازيل، فرنسا، والهند. استهدفت النشاطات في يناير وحده 110 ضحايا فريدين في الهند.

التحليل والتأثير

أصبحت مجموعة لازاروس خبيرة في الهندسة الاجتماعية، مستغلة LinkedIn كوسيلة للعدوى الأولية تحت ستار فرص عمل مغرية أو تعاون مشترك في مشاريع تتعلق بالعملات المشفرة.

يرتبط تشغيل الحملة ببيونغيانغ من خلال استخدام VPN Astrill الذي سبق ربطه بمخططات احتيالية في تكنولوجيا المعلومات، واكتشاف ستة عناوين IP كورية شمالية متميزة متصلة عبر نقاط خروج Astrill VPN ونقاط نهاية Oculus Proxy.

كشف التحليل الإضافي للعنصر الإداري أن المهاجمين يمكنهم عرض البيانات المسربة من الضحايا وكذلك البحث وتصفيتها بحسب الاهتمام.

التفاعل والنقاش

في ضوء هذه التطورات، كيف يمكن للشركات تحسين دفاعاتها ضد مثل هذه الهجمات المعقدة؟ شاركوا آرائكم وتوصياتكم في التعليقات.

لمعرفة المزيد من الأخبار الحصرية، تابعونا على تويتر وفيسبوك.