خداع إكسل: قراصنة كوريا الشمالية يتسللون إلى شركات الأدوية بفخاخ جداول البيانات

العنوان الفرعي: تقوم مجموعة التهديدات المتقدمة المستمرة الكورية الشمالية كيمسوكي باستدراج شركات الأدوية إلى مصائد برمجيات خبيثة متنكرة في هيئة ملفات إكسل يومية، ما يعرّض الأبحاث الحيوية للخطر.

يبدأ الأمر برسالة بريد إلكتروني بسيطة - تبدو كأي تحديث آخر عن جداول الإنتاج أو خطط البحث. لكن بالنسبة لشركات الأدوية، قد يعني النقر على “جدول البيانات” المرفق كارثة. فخلف أيقونة إكسل المألوفة تختبئ حملة تجسس سيبراني متطورة، تقف وراءها مجموعة كيمسوكي سيئة الصيت التابعة لكوريا الشمالية، وتستهدف قلب صناعة الدواء العالمية.

حقائق سريعة

قراصنة كوريون شماليون يستهدفون شركات الأدوية وعلوم الحياة بملفات ذات طابع إكسل محمّلة ببرمجيات خبيثة.
تستخدم الهجمات ملفات اختصار ويندوز الخادعة (LNK) المتنكرة كجداول بيانات، وتُسلَّم عبر رسائل تصيّد موجّه.
تستغل البرمجيات الخبيثة نصوص PowerShell وDropbox لسرقة البيانات سرًا ولأوامر التحكم والسيطرة.
ترتبط كيمسوكي، وهي مجموعة APT مدعومة من الدولة، بتجسس طويل الأمد ضد مؤسسات البحث والرعاية الصحية.
يحذّر خبراء الأمن من أن المرفقات المرتبطة بإكسل أو أنظمة ERP داخل ملفات ZIP يجب التعامل معها على أنها عالية الخطورة.

تشريح الهجوم

تتكشف العملية وفق أسلوب الهندسة الاجتماعية الكلاسيكي. يتلقى موظفو شركات الأدوية رسائل بريد تشير إلى موضوعات تبدو مشروعة - مواصفات ERP، خطط الإنتاج، أو وثائق البحث. ويكون المرفق أرشيف ZIP يحتوي ملفًا يبدو كأنه جدول إكسل بريء، لكنه في الحقيقة ملف اختصار ويندوز (LNK) مُسمّى بحيث يندمج مع أعمال اليوم المعتادة.

عندما ينقر الضحية نقرًا مزدوجًا على الملف، يطلق دون أن يدري سلسلة خفية: فبدلًا من فتح إكسل، يقوم الاختصار بتشغيل أمر PowerShell شديد الإخفاء. هذا النص - وغالبًا ما يتنكر كعملية نظام - يقوم بتنزيل برمجيات خبيثة إضافية وفك ترميزها. وللحفاظ على الوهم، يفتح أيضًا مصنف إكسل طُعمًا مليئًا بجداول تبدو معقولة، ليشغل المستخدم بينما تتجذر العدوى.

تتمثل الخطوة التالية للبرمجية الخبيثة في جمع معلومات حساسة عن النظام بهدوء ورفعها إلى Dropbox، وهي خدمة سحابية أُعيد توظيفها كقناة اتصال سرية. وتضمن حمولات لاحقة، بما في ذلك JavaScript والمهام المجدولة، بقاء المهاجمين داخل الشبكة. وتُخفى هذه المكونات في مجلدات النظام وتُضبط لتعمل بانتظام، ما يزيد من تفادي الاكتشاف.

ليس تركيز كيمسوكي على المؤسسات الدوائية والبحثية محض صدفة. فمن خلال سرقة الملكية الفكرية وصيغ الأدوية والأبحاث الداخلية، تخدم المجموعة المصالح الاستراتيجية لكوريا الشمالية - وتقوّض نزاهة ابتكار الرعاية الصحية عالميًا. كما أن استخدام طُعم ذي طابع أعمال، وتنسيقات ملفات شائعة، وخدمات سحابية شرعية يجعل هجماتهم صعبة الرصد والإيقاف على نحو خاص.

حماية خطوط الدفاع الأمامية في قطاع الأدوية

يحث خبراء الأمن المؤسسات الدوائية على التعامل مع أي مرفقات غير مطلوبة مرتبطة بإكسل أو ERP - خصوصًا تلك الموجودة داخل أرشيفات ZIP - على أنها عالية الخطورة. وتشمل وسائل الدفاع الموصى بها حظر مرفقات الاختصارات عند بوابة البريد الإلكتروني، ومراقبة نشاط PowerShell غير المعتاد الصادر من ملفات LNK، والتدقيق في حركة Dropbox على نقاط النهاية. كما أن إظهار امتدادات الملفات كاملةً والتدريب المستمر لرفع وعي الموظفين يمكن أن يقللا أكثر من خطر الوقوع في مثل هذه الخدع.

الخلاصة

في صناعة قد تساوي فيها صيغة واحدة مليارات، يراهن قراصنة كوريا الشمالية على عنصر المفاجأة - وقوة جدول بيانات مُحكم الصنع. ومع تطور أساليب التجسس السيبراني، يجب أن تتطور يقظة العاملين في الخطوط الأمامية أيضًا، لحماية ليس فقط البيانات المملوكة، بل مستقبل الصحة العالمية ذاته.

WIKICROOK

APT (التهديد المتقدم المستمر): التهديد المتقدم المستمر (APT) هو هجوم سيبراني طويل الأمد وموجّه تنفذه مجموعات ماهرة، غالبًا بدعم من دول، بهدف سرقة البيانات أو تعطيل العمليات.
ملف LNK: ملف LNK هو اختصار في ويندوز يربط بملف أو برنامج. ويمكن للمهاجمين استغلال ملفات LNK لتشغيل أوامر خفية أو برمجيات خبيثة.
PowerShell: PowerShell أداة برمجة نصية في ويندوز تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أعمال خبيثة بسرية.
الإخفاء (Obfuscation): الإخفاء هو ممارسة تمويه الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمن.
Spear: التصيّد الموجّه (Spear phishing) هو هجوم سيبراني مستهدف يستخدم رسائل بريد مُخصّصة لخداع أفراد أو مؤسسات بعينها للكشف عن معلومات حساسة.