Netcrook Logo
👤 AUDITWOLF
🗓️ 01 Dec 2025   🌍 Asia

فخ الضرائب: قراصنة كوريون شماليون ينشرون ملفات خادعة لاختراق أجهزة ويندوز

يستغل مجرمو الإنترنت الثقة في إشعارات الضرائب الحكومية، ويطلقون حملة برمجيات خبيثة متخفية تستهدف مستخدمي ويندوز عبر هندسة اجتماعية ماكرة وأساليب هجوم متطورة.

حقائق سريعة

  • برمجية KimJongRAT الخبيثة المرتبطة بكوريا الشمالية تنتشر عبر رسائل بريد إلكتروني مزيفة لإشعارات الضرائب تستهدف مستخدمي ويندوز.
  • يستخدم الهجوم ملفات متخفية وأداة mshta من مايكروسوفت لتجاوز إجراءات الأمان.
  • تتكيف الحمولة الخبيثة حسب ما إذا كان Windows Defender نشطًا، لتعظيم سرقة البيانات.
  • تشمل البيانات المسروقة بيانات اعتماد الدخول، ومحافظ العملات الرقمية، وحسابات تطبيقات المراسلة.
  • هذه الحملة مستهدفة للغاية، وتستخدم محتوى محليًا لخداع المستخدمين في مناطق محددة.

تشريح عملية سرقة رقمية

تخيل أنك تفتح رسالة بريد إلكتروني من سلطة الضرائب لديك - عادة سنوية نادرًا ما تثير الشك. لكن هذا العام، قد تكون تلك النقرة بداية غزو صامت. اكتشف باحثو الأمن حملة جديدة تستخدم KimJongRAT، وهو حصان طروادة للتحكم عن بعد سيء السمعة يُنسب إلى مجموعة Kimsuky الكورية الشمالية، حيث يتم استدراج مستخدمي ويندوز غير المشتبهين بملفات خبيثة تتنكر في هيئة مستندات ضريبية رسمية.

تبدأ العملية برسالة تصيد تحمل موضوعًا رسميًا ظاهريًا حول إشعار ضريبي. الملف المرفق، "tax_notice.zip"، يحتوي على ما يبدو أنه مستند PDF. في الواقع، هو ملف اختصار (LNK) يتنكر باسم "Tax Notice.pdf". هذا التمويه الذكي يستغل ثقة المستخدمين في المراسلات الحكومية وتوقعهم لمثل هذه الإشعارات - خاصة في المناطق التي أصبحت فيها المراسلات الضريبية الرقمية أمرًا روتينيًا.

من الخداع إلى الاختراق: كيف يعمل الهجوم

بمجرد فتح الملف، يبدأ الهجوم في التنفيذ. يقوم ملف LNK بتشغيل أداة mshta من مايكروسوفت بهدوء، وهي أداة شرعية لتشغيل تطبيقات HTML، لجلب وتنفيذ برنامج نصي خبيث (tax.hta) من الإنترنت. يعمل هذا البرنامج النصي، المكتوب بلغة VBScript، كأداة تحميل، حيث يقوم بتنزيل برمجيات خبيثة إضافية ومستندات تمويهية، مع استخدام ذكي لروابط Google Drive لتجنب لفت انتباه أنظمة الأمان التقليدية.

ولا تتوقف براعة الحملة عند هذا الحد. يتحقق البرنامج الخبيث مما إذا كان Windows Defender، مضاد الفيروسات المدمج من مايكروسوفت، قيد التشغيل. إذا كان معطلاً، يسقط البرنامج حمولة من نوع معين؛ وإذا كان مفعلاً، يرسل حمولة أخرى، وكلاهما مصمم لجمع أكبر قدر ممكن من البيانات الحساسة - بدءًا من كلمات مرور المتصفح ومفاتيح التشفير إلى محافظ العملات الرقمية وحسابات تطبيقات المراسلة مثل تيليغرام وديسكورد. كما أن النسخة التي تكتشف وجود Defender تقوم بإعداد آليات بقاء، وتعدل إعدادات السجل لضمان استمرار الوصول إلى النظام المخترق.

سجل KimJongRAT والسياق الجيوسياسي

ليست KimJongRAT ومجموعة Kimsuky أسماء جديدة في عالم الجريمة الإلكترونية. فالمجموعة مرتبطة بمصالح الدولة الكورية الشمالية، ولها تاريخ في استهداف الدبلوماسيين والصحفيين والجهات الحكومية، غالبًا باستخدام هجمات تصيد موجهة وبرمجيات خبيثة مصممة خصيصًا. ووفقًا لتقارير شركات الأمن مثل Kaspersky وSentinelOne، فإن المجموعة بارعة في صياغة طُعم يركز على مناطق معينة، مع حملات في كوريا الجنوبية وخارجها. ويؤكد استخدام هذه العملية الأخيرة للغة محلية وقوالب إشعارات ضريبية هدفها: اختراق أسواق محددة حيث يتوقع المستخدمون مثل هذه الوثائق ويثقون بها.

استخدام ملفات HTA - وهي ملفات تطبيقات HTML يمكنها تشغيل الشيفرة مباشرة على ويندوز - هو أسلوب مفضل لتجاوز العديد من الحمايات المدمجة. فعلى عكس الملفات التنفيذية التقليدية، يمكن تشغيل ملفات HTA مع تحذيرات قليلة، مما يجعلها وسيلة مفضلة للهجمات المتقدمة.

البقاء آمنًا: دروس للمستخدمين والمؤسسات

تعد حملة KimJongRAT المستمرة تذكيرًا صارخًا: مجرمو الإنترنت يزدهرون على الثقة والروتين. للدفاع ضد مثل هذه التهديدات، يجب على المؤسسات والأفراد تحديث نظام ويندوز وبرامج مكافحة الفيروسات باستمرار، والتحقق دائمًا من امتدادات الملفات، والحذر من الرسائل غير المتوقعة - حتى تلك التي تبدو رسمية. أدوات الأمان بدأت تواكب، حيث أصبحت العديد من برامج مكافحة الفيروسات تكتشف هذه الملفات الخبيثة. لكن اليقظة تظل خط الدفاع الأول والأفضل.

مع تزايد ارتباط المراسلات الرقمية بالحياة اليومية، يجد المهاجمون طرقًا جديدة لتحويل المألوف إلى سلاح. في معركة حماية بياناتك، حتى إشعار ضريبي قد يتحول إلى حصان طروادة. كن يقظًا - فالنقرة التالية قد تكون بداية عملية سرقة إلكترونية عالية المخاطر.

ويكيكروك

  • حصان طروادة للتحكم عن بعد (RAT): هو برنامج خبيث يسمح للمهاجمين بالتحكم السري في جهاز الضحية عن بُعد، مما يمكّنهم من السرقة والتجسس.
  • التصيد الاحتيالي: التصيد الاحتيالي هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
  • ملف LNK: ملف LNK هو اختصار في ويندوز يشير إلى ملف أو برنامج. يمكن للمهاجمين استغلال ملفات LNK لتشغيل أوامر أو برمجيات خبيثة مخفية.
  • mshta: mshta هي أداة في ويندوز لتشغيل تطبيقات HTML، وغالبًا ما يستخدمها القراصنة لتنفيذ شيفرة خبيثة أو توزيع البرمجيات الضارة.
  • آلية البقاء: آلية البقاء هي طريقة تستخدمها البرمجيات الخبيثة للبقاء نشطة على النظام، حتى بعد إعادة التشغيل أو محاولات الإزالة من قبل المستخدمين أو أدوات الأمان.
North Korean Hackers KimJongRAT Cybersecurity Threats
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news