أضواء، كاميرا، هجوم إلكتروني: قراصنة كوريا الشمالية يتنكرون ككتّاب تلفزيونيين في هجوم برمجيات خبيثة متخفي

حملة "أرتميس" التي يقودها APT37 تستخدم هويات تلفزيونية مزيفة وحيل تقنية لاختراق أهداف كورية جنوبية - مما يترك فرق الأمن في حالة استنفار.

عندما تصلك دعوة من كاتب تلفزيوني كوري شهير إلى بريدك الإلكتروني، قد ترى فيها فرصة - وليس هجوماً إلكترونياً. لكن بالنسبة لعشرات المحترفين الكوريين الجنوبيين، كان ذلك البريد الإلكتروني هو الفصل الأول في حملة تجسس متطورة تديرها مجموعة APT37 سيئة السمعة التابعة لكوريا الشمالية. بمزج دراما الهندسة الاجتماعية مع دقة الاستغلال التقني، يعيد هؤلاء القراصنة كتابة سيناريو الخداع الرقمي - والرهانات أعلى من أي وقت مضى.

حقائق سريعة

مجموعة APT37 المدعومة من كوريا الشمالية تنتحل شخصيات كتّاب تلفزيونيين كوريين حقيقيين لاستهداف منظمات كورية جنوبية.
حملة "أرتميس" توزع مستندات Hangul Word Processor (HWP) خبيثة متخفية كطلبات مقابلة.
يستغل المهاجمون أدوات مايكروسوفت الشرعية لتحميل DLL الجانبي، متجنبين أدوات الأمن التقليدية.
الحمولة النهائية للبرمجية الخبيثة، RoKRAT، تمنح المهاجمين وصولاً وتحكماً عن بُعد.
البنية التحتية للقيادة والسيطرة تعتمد على خدمات سحابية في روسيا وسويسرا لإخفاء مصدر الهجوم.

تشريح دراما إلكترونية

لا تبدأ حملة أرتميس برابط تصيد، بل بمحادثة. يتقمص عناصر APT37 دور كتّاب لمسلسلات تلفزيونية كورية بارزة، ويتواصلون مع الضحايا بحجة إجراء مقابلات أو اختبارات أداء - خاصة حول مواضيع حساسة مثل حقوق الإنسان في كوريا الشمالية. يستخدمون أسماء حقيقية لمحترفين إعلاميين بارزين، مما يضفي مصداقية يصعب الشك فيها.

بعد بناء الثقة عبر عدة مراسلات، يرسل المهاجمون ملف HWP يبدو بريئاً - وهو صيغة المستندات المفضلة في كوريا الجنوبية. مخفي بداخله كائن OLE خبيث متنكّر كرابط. نقرة واحدة، ويبدأ سيناريو الاختراق.

ما يلي ذلك هو أداء تقني يستحق أفلام الإثارة. تستغل البرمجية الخبيثة تقنية تحميل DLL الجانبي، حيث يتم خداع أدوات مايكروسوفت Sysinternals الموثوقة (مثل VolumeId.exe أو vhelp.exe) لتحميل شيفرة خبيثة. وبما أن هذه الأدوات مسموح بها على نطاق واسع في السياسات الأمنية، يتجاوز المهاجمون الدفاعات المعتمدة على التواقيع دون أن يُكشف أمرهم.

تكون الحمولة مشفرة عدة مرات بمفاتيح XOR مختلفة، مما يزيد من صعوبة التحليل ويؤخر الاكتشاف. وفي النهاية، تكشف البرمجية عن هويتها الحقيقية: RoKRAT، حصان طروادة قوي للوصول عن بُعد يمنح APT37 سيطرة كاملة على النظام المصاب.

في الكواليس، يحافظ القراصنة على القيادة والسيطرة عبر خدمات سحابية مقرها روسيا وسويسرا، مسجلين حسابات بأسماء مستعارة معقولة ويبدلون الرموز باستمرار للحفاظ على بنية تحتية متجددة وصعبة التتبع. هذا الإعداد العابر للحدود مصمم لإرباك المحققين وتجاوز الحظر الجغرافي البسيط.

غالباً ما تكون أدوات الأمن التقليدية عاجزة أمام هذه الأساليب. وحدها حلول كشف الاستجابة المتقدمة للنقاط الطرفية (EDR) - القادرة على رصد السلوكيات الغريبة مثل العمليات الفرعية المنبثقة من ملفات HWP أو تحميل DLL غير المعتاد - قد تتمكن من كشف الهجوم أثناء حدوثه.

السطر الأخير: دروس للمدافعين

أحدث عروض APT37 هو درس متقن في مزج الهندسة الاجتماعية مع الخداع التقني. بالنسبة للمنظمات في كوريا الجنوبية وخارجها، الرسالة واضحة: لا تثق بأي دعوة غير متوقعة، راقب علامات الاستغلال حتى في أكثر البرامج المألوفة، واستثمر في أدوات أمنية سلوكية تتجاوز الواضح. في عالم التجسس الإلكتروني، قد يأتي الهجوم الكبير التالي متنكراً في هيئة برنامجك التلفزيوني المفضل.

ويكيكروك

الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لخداع الأشخاص للكشف عن معلومات سرية أو منح وصول غير مصرح به للأنظمة.
تحميل DLL الجانبي: تحميل DLL الجانبي هو تقنية يخدع فيها المهاجمون البرامج لتحميل ملفات DLL خبيثة، متجاوزين الأمن ويحصلون على وصول أو تحكم غير مصرح به.
كائن OLE: كائن OLE يدمج أو يربط البيانات في المستندات. يستغله مجرمو الإنترنت لإخفاء البرمجيات الخبيثة في الملفات، مما يشكل خطراً كبيراً على الأمن السيبراني.
تشفير XOR: تشفير XOR هو طريقة بسيطة تستخدم عملية XOR لإخفاء البيانات. هو سريع لكنه غير آمن، وغالباً ما تستخدمه البرمجيات الخبيثة للتمويه.
حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سراً في جهاز الضحية من أي مكان، مما يمكّنهم من السرقة والتجسس.