.png)
لوحظ ممثل التهديد الكوري الشمالي المعروف باسم Lazarus Group وهو يغير تركيزه ويطور أدواته وتكتيكاته بسرعة كجزء من حملة طويلة الأمد تسمى DeathNote .
بينما يُعرف خصم الدولة القومية بإصراره على قطاع العملات المشفرة ، استهدفت الهجمات الأخيرة أيضًا قطاعات السيارات والأكاديمية والدفاع في أوروبا الشرقية وأجزاء أخرى من العالم ، فيما يُنظر إليه على أنه محور "مهم".
وقال سيونجسو بارك الباحث في كاسبرسكي في تحليل نُشر يوم الأربعاء: "في هذه المرحلة ، قام الممثل بتحويل جميع المستندات الخادعة إلى توصيفات وظيفية تتعلق بمقاولي الدفاع والخدمات الدبلوماسية" .
يُقال إن الانحراف في الاستهداف ، جنبًا إلى جنب مع استخدام نواقل العدوى المحدثة ، حدث في أبريل 2020. وتجدر الإشارة إلى أن مجموعة DeathNote يتم تتبعها أيضًا تحت اسم Operation Dream Job أو NukeSped . ربط Mandiant المملوك لشركة Google أيضًا مجموعة فرعية من النشاط بمجموعة تسميها UNC2970 .
عادةً ما تستلزم هجمات التصيد الاحتيالي الموجهة ضد الشركات المشفرة استخدام إغراءات تحت عنوان تعدين البيتكوين في رسائل البريد الإلكتروني لإغراء الأهداف المحتملة بفتح المستندات ذات الروابط الكبيرة من أجل إسقاط باب خلفي Manuscrypt (المعروف أيضًا باسم NukeSped) على الجهاز المخترق.
يرتبط استهداف قطاعات السيارات والأكاديمية بهجمات مجموعة Lazarus الواسعة ضد صناعة الدفاع ، كما وثقتها شركة الأمن السيبراني الروسية في أكتوبر 2021 ، مما أدى إلى نشر BLINDINGCAN (المعروف أيضًا باسم AIRDRY أو ZetaNile) و COPPERHEDGE.
.png)
في سلسلة هجوم بديلة ، استخدم الفاعل نسخة طروادة من تطبيق قارئ PDF شرعي يسمى SumatraPDF Reader لبدء روتينه الضار. كشفت شركة Microsoft سابقًا عن استخدام مجموعة Lazarus Group لتطبيقات قارئ PDF المارقة .
تضمنت أهداف هذه الهجمات مورّد حلول مراقبة أصول تكنولوجيا المعلومات ومقرها في لاتفيا ومركز أبحاث يقع في كوريا الجنوبية ، وقد استلزم الأخير إساءة استخدام برمجيات أمنية مشروعة تُستخدم على نطاق واسع في الدولة لتنفيذ الحمولات.
وأشار كاسبيرسكي في ذلك الوقت إلى أن الهجومين المزدوجين "يشيران إلى قيام لازاروس ببناء قدرات هجومية على سلسلة التوريد". ومنذ ذلك الحين تم إلقاء اللوم على الطاقم المناوئ لهجوم سلسلة التوريد الذي استهدف مزود خدمة VoIP 3CX الذي ظهر الشهر الماضي.
قالت Kaspersky إنها اكتشفت هجومًا آخر في مارس 2022 استهدف العديد من الضحايا في كوريا الجنوبية من خلال استغلال نفس برنامج الأمان لتقديم برامج ضارة للتنزيل قادرة على توفير باب خلفي بالإضافة إلى سرقة معلومات لجمع بيانات ضغطات المفاتيح والحافظة.
وقال بارك "إن الباب الخلفي المزروع حديثًا قادر على تنفيذ حمولة مسترجعة باتصال عبر الأنابيب المسماة" ، مضيفًا أنه "مسؤول أيضًا عن جمع معلومات الضحية والإبلاغ عنها".
في نفس الوقت تقريبًا ، يُقال أنه تم استخدام نفس الباب الخلفي للتغلب على مقاول دفاع في أمريكا اللاتينية باستخدام تقنيات التحميل الجانبي لـ DLL عند فتح ملف PDF معد خصيصًا باستخدام قارئ PDF ذي طروادة.
تم أيضًا ربط مجموعة Lazarus Group بخرق ناجح لمقاول دفاع آخر في إفريقيا في يوليو الماضي حيث تم إرسال "تطبيق PDF مشبوه" عبر Skype لإسقاط متغير من باب خلفي يُطلق عليه اسم ThreatNeedle وزرع آخر يُعرف باسم ForestTiger لاستخراج البيانات .
قال بارك: "مجموعة Lazarus هي جهة تهديد سيئة السمعة وذات مهارات عالية". "مع استمرار مجموعة Lazarus في تحسين نهجها ، من الضروري أن تحافظ المنظمات على يقظتها وأن تتخذ إجراءات استباقية للدفاع ضد أنشطتها الخبيثة."