في عالم يتسم بالتطور التكنولوجي السريع، تظل الهجمات السيبرانية تهديداً مستمراً يهدد الأمن الرقمي للمؤسسات والدول. واحدة من المجموعات البارزة في مجال الجرائم الإلكترونية هي مجموعة كيمسوكي المرتبطة بكوريا الشمالية، والتي تم رصدها مؤخراً وهي تنفذ هجمات تصيد احتيالي لاستهداف مستخدمين عبر برنامج خبيث يُعرف باسم “فورس كوبي” (forceCopy)، وفقاً لتقارير من مركز استخبارات الأمن في شركة أهنلاب (AhnLab Security Intelligence Center).

تفاصيل الهجمات وتكتيكاتها

تبدأ الهجمات برسائل بريد إلكتروني تحتوي على ملف اختصار ويندوز (LNK) متنكر في هيئة مستند مايكروسوفت أوفيس أو ملف PDF. عند فتح هذا المرفق، يتم تشغيل أوامر (PowerShell) أو (mshta.exe) وهي برامج شرعية من مايكروسوفت مصممة لتشغيل ملفات (HTML Application) وتحميل وتشغيل حمولات من مصادر خارجية.

وفقاً لشركة الأمن السيبراني الكورية الجنوبية، تنتهي هذه الهجمات بنشر برنامج حصان طروادة معروف باسم (PEBBLEDASH) ونسخة مخصصة من أداة (RDP Wrapper) مفتوحة المصدر التي تستخدم للاتصال عن بعد بالأجهزة.

التكتيكات والتهديدات المستجدة

كجزء من هذه الهجمات، يتم تسليم برامج ضارة تنشئ اتصالات مستمرة مع شبكات خارجية عبر (RDP). كما تم رصد كيمسوكي وهي تستخدم مسجل مفاتيح (Keylogger) يعتمد على (PowerShell) لتسجيل ضربات المفاتيح، بالإضافة إلى برنامج سرقة جديد يُعرف باسم “فورس كوبي” يستخدم لنسخ الملفات المخزنة في أدلة المتصفح.

أوضحت شركة أهنلاب، “جميع المسارات التي تُثبت فيها البرامج الضارة هي مسارات تثبيت المتصفحات”، مما يشير إلى أن المهاجمين يحاولون تجاوز القيود في بيئات محددة وسرقة ملفات تكوين المتصفحات التي تُخزن فيها بيانات الاعتماد.”

تحليل المخاطر والأهمية الاستراتيجية

يشير استخدام أدوات مثل (RDP Wrapper) والوكلاء (Proxies) للسيطرة على الأجهزة المصابة إلى تحول تكتيكي لدى كيمسوكي، والتي كانت تستخدم تاريخياً أبواباً خلفية مخصصة لهذا الغرض. يُعتقد أن هذه المجموعة، المعروفة أيضاً بأسماء مثل APT43 وBlack Banshee، تابعة لمكتب الاستطلاع العام، وهو جهاز المخابرات الخارجية الرئيسي لكوريا الشمالية.

منذ عام 2012، تميزت كيمسوكي بشن هجمات هندسة اجتماعية مخصصة قادرة على تجاوز حماية البريد الإلكتروني. في ديسمبر 2024، كشفت شركة جينيانز للأمن السيبراني أن هذه المجموعة تستخدم خدمات روسية لإرسال رسائل تصيد احتيالي بهدف سرقة بيانات الاعتماد.

الاتجاهات المستقبلية والتوقعات

تظل الهجمات السيبرانية لكيمسوكي مثالاً على التهديدات المتطورة التي تواجهها الأنظمة الرقمية حول العالم. مع استمرار تقدم أساليب الهجمات، يصبح من الضروري تعزيز الدفاعات السيبرانية واستخدام تقنيات الكشف المتقدمة لمواجهة هذه التهديدات.

ما هي التدابير التي يمكن أن تتخذها المؤسسات لتعزيز دفاعاتها ضد مثل هذه الهجمات؟ نرحب بتعليقاتكم وآرائكم حول هذا الموضوع.

لمتابعة المزيد من المحتوى الحصري، تابعونا على تويتر وفيسبوك.