في عالم الأمن السيبراني المتغير باستمرار، تبرز مجموعة القرصنة المرتبطة بكوريا الشمالية والمعروفة باسم كيمسوكي كتهديد دائم التطور. وفقًا لمركز استخبارات الأمن في AhnLab (ASEC)، قامت كيمسوكي بشن سلسلة من الهجمات الإلكترونية باستخدام أسلوب التصيد الاحتيالي المستهدف لنشر برمجية خبيثة تعرف باسم “فورس كوبي” (forceCopy).
الهجمات: البداية والتقنيات المستخدمة
تبدأ هذه الهجمات برسائل بريد إلكتروني تصيدية تحتوي على ملف اختصار ويندوز (LNK) مُتنكر بذكاء ليبدو كأنه مستند مايكروسوفت أوفيس أو ملف PDF. عند فتح هذا المرفق، يتم تشغيل سكربت PowerShell أو ملف mshta.exe، وهو برنامج شرعي من مايكروسوفت مصمم لتشغيل تطبيقات HTML، والذي بدوره يقوم بتنزيل وتشغيل برمجيات خبيثة من مصادر خارجية.
أكدت شركة الأمن السيبراني الكورية الجنوبية أن هذه الهجمات تنتهي بنشر حصان طروادة معروف باسم PEBBLEDASH ونسخة مخصصة من أداة مفتوحة المصدر للتحكم بسطح المكتب عن بعد تُسمى RDP Wrapper. كما تحتوي الهجمات على برمجية خبيثة تعمل كوكيل يسمح للمهاجمين بإقامة اتصالات دائمة مع شبكة خارجية عبر RDP.
تحليل التكتيكات وأهداف كيمسوكي
بالإضافة إلى ذلك، لوحظ أن كيمسوكي يستخدم keylogger يعتمد على PowerShell لتسجيل ضغطات المفاتيح، إلى جانب برمجية جديدة لسرقة المعلومات تُسمى “فورس كوبي”، تُستخدم لنسخ الملفات المخزنة في أدلة مرتبطة بالمتصفحات. ووفقًا لـ ASEC، “كل المسارات التي تُثبّت فيها البرمجيات الخبيثة هي مسارات تثبيت المتصفحات”، مما يشير إلى أن المهاجمين يحاولون تجاوز القيود في بيئات محددة وسرقة ملفات تكوين المتصفحات حيث تُخزن بيانات الاعتماد.
يشير استخدام أدوات مثل RDP Wrapper والوكلاء للسيطرة على الأجهزة المصابة إلى تحول تكتيكي لمجموعة كيمسوكي، التي اعتمدت في السابق على الأبواب الخلفية المصممة خصيصًا لهذا الغرض. تُعرف المجموعة أيضًا باسم APT43 وBlack Banshee وEmerald Sleet وSparkling Pisces وSpringtail وTA427 وVelvet Chollima، وتُعتقد أنها تابعة لمكتب الاستطلاع العام، وهو جهاز المخابرات الخارجية الرئيسي لكوريا الشمالية.
التاريخ والأنماط السابقة
نشطت كيمسوكي منذ عام 2012، ولديها تاريخ حافل في تنظيم هجمات هندسة اجتماعية مصممة خصيصًا لتجاوز حماية البريد الإلكتروني. في ديسمبر 2024، كشفت شركة الأمن السيبراني جينيانز أن مجموعة القرصنة كانت ترسل رسائل تصيد احتيالي مصدرها خدمات روسية لسرقة بيانات الاعتماد.
التداعيات الأمنية والاتجاهات المستقبلية
تشير هذه الهجمات إلى تطور متزايد في أساليب كيمسوكي، مما يثير تساؤلات حول كيفية استجابة القطاعات المستهدفة مثل المالية والرعاية الصحية والحكومية لهذه التهديدات المتطورة. في ظل هذا السياق، يجب على المؤسسات الاستثمار في حلول الأمن السيبراني المتقدمة وتعزيز وعي موظفيها بمخاطر التصيد الاحتيالي.
دعوة للتفكير والنقاش
مع تزايد تعقيد الهجمات الإلكترونية، كيف يمكن للمؤسسات أن تظل متقدمة بخطوة على المهاجمين؟ هل الاعتماد على التكنولوجيا وحدها كافٍ، أم يجب أن يكون هناك تحول ثقافي نحو الأمن السيبراني الشامل؟
شاركنا رأيك بتعليق