أجرت كاسبرسكي مؤخراً تحقيقاً ركزت فيه على DeathNote الوحدة التابعة لمجموعة “لازاروس” السيبرانية الإجرامية سيئة السمعة، واكتشفوا تحولها بشكل كبير على مر السنين. بدأت المجموعة بشن هجمات على الشركات المرتبطة بالعملات المشفرة في جميع أنحاء العالم في عام 2019. وفي نهاية 2022، كانت مسؤولة عن الحملات التي استهدفت شركات تكنولوجيا المعلوماتية وشركات أخرى عاملة في قطاع الدفاع على مستوى أوروبا وأمريكا اللاتينية وكوريا الجنوبية وإفريقيا. وكشف أحدث تقرير صادر عن كاسبرسكي التحول في أهداف المجموعة، إضافة إلى تطوير وصقل أدواتها وطُرقها وإجراءاتها خلال السنوات الأربع الماضية.
واستهدفت مجموعة “لازاروس” الأعمال المرتبطة بالعملات المشفرة باستمرار لفترة طويلة، وفي أثناء مراقبة ورصد أنشطتها، لاحظت كاسبرسكي أن المجموعة ذاتها استخدمت برنامجاً ضاراً متغيراً بشكل كبير في حالة واحدة. وفي منتصف أكتوبر من العام 2019، عثر خبراء كاسبرسكي على مستند مشبوه تم تحميله على موقع VirusTotal. واستخدم مطورو البرنامج الضار مستندات خادعة تتعلق بأعمال العملات المشفرة، وتتضمن استبياناً حول شراء إحدى العملات المشفرة، ومقدمة عن عملة معينة، ومقدمة أخرى عن تعدين عملة البيتكوين. وكانت هذه المرة الأولى التي تظهر فيها حملة DeathNote لاستهداف أفراد وشركات ممن يعملون في العملات المشفرة في قبرص والولايات المتحدة وتايوان وهونغ كونغ.
المسار الزمني تطور وحدة DeathNote
وفي أبريل 2020، رصدت كاسبرسكي تحولاً كبيراً في الأدوات والبرامج الخبيثة الخاصة بوحدة DeathNote، حيث تبيّن من خلال الأبحاث أنها كانت تستخدم في الهجمات الموجهة ضد شركات السيارات والمؤسسات الأكاديمية في أوروبا الشرقية المرتبطة بقطاع الدفاع. وقامت المجموعة المسؤولة عن التهديد بتحويل جميع المستندات الخادعة المتعلقة بالتوصيف الوظيفي من مقاولي الدفاع والمستندات المتعلقة بالدبلوماسية، كما عمدت إلى تطوير السلسلة الخبيثة الخاصة بها باستخدام ما يطلق عليه “طريقة حقن القالب عن بُعد” في مستنداتها المُستخدمة في الهجمات، وتوظيف أحد برامج التروجانات كملفات PDF مفتوحة المصدر. وتؤدي طريقتا الإصابة إلى نفس البرنامج الخبيث لتنزيل وحدة DeathNote، المسؤولة عن تحميل المعلومات الخاصة بالضحية.
ولاحظت كاسبرسكي في مايو 2021 أن شركة أوروبية متخصصة في مجال تكنولوجيا المعلومات، تعمل في مجال توفير حلول مراقبة أجهزة الشبكة والخادم، قد تعرضت للاختراق من قبل وحدة DeathNote. وفي أوائل يونيو 2021، بدأت الوحدة ذاتها التابعة لمجموعة “لازاروس” باستخدام آلية جديدة لإصابة الأهداف في كوريا الجنوبية. وكان اللافت لانتباه الباحثين أن المرحلة الأولى من البرنامج الخبيث تم تنفيذه بواسطة برنامج شرعي يستخدم على نطاق واسع للأمن في كوريا الجنوبية.
وفي أثناء مراقبتهم لوحدة DeathNote خلال العام 2022، اكتشف باحثو كاسبرسكي أن المجموعة كانت مسؤولة عن هجمات على عدد من مقاولي الدفاع في أمريكا اللاتينية. وكانت الأدوات والبرامج الخبيثة مشابهة لتلك التي تم توظيفها لإصابة أهداف بقطاع الدفاع الأخرى، بما في ذلك استخدام برنامج التروجانات لقراءة الملفات بنسق PDF مع ملف بنفس النسق تم إعداده خصيصاً لهذه الغاية. لكن في هذه الحالة بالذات، اعتمد المهاجمون على طريقة التحميل الجانبي لإيصال الحمولة النهائية.
وفي إحدى الحملات المستمرة التي رصدت لأول مرة في يوليو 2022، اكتشف الباحثون أن مجموعة “لازاروس” قد تمكنت من اختراق عدد من مقاولي بقطاع الدفاع بنجاح في إفريقيا. وتمثلت الإصابة الأولية باستخدام تطبيق مشبوه بنسق PDF تم إرساله عبر “سكايب مسنجر”. عند تشغيل قارئ PDF، قام بإنشاء ملف شرعي (CameraSettingsUIHost.exe) وملف خبيث باسم (DUI70.dll) في نفس الدليل.
وقال سيونغسو بارك، كبير باحثي الأمن في فريق البحث والتحليل العالمي GReAT في كاسبرسكي: “لقد أصبحت مجموعة “لازاروس” خطيرة جداً من خلال المهارات العالية التي تتمتع بها. ويكشف التحليل الذي أجريناه على وحدة DeathNote التابعة لها عن تحقيقها تطوراً سريعاً في الطرق والتقنيات والإجراءات التي تتبعها على مر السنين. وفي هذه الحملة بالذات، لم يقتصر نشاط المجموعة على الأعمال المرتبطة بالعملات المشفرة، ولكنها ذهبت إلى ما هو أبعد من ذلك بكثير، حيث تقوم بتوظيف البرامج الشرعية والملفات الخبيثة على حد سواء لمهاجمة المؤسسات الدفاعية. وعلى ضوء مواصلتها العمل لتحسين طرقها في هجماتها الإجرامية، يكون لزاماً على الشركات التصرف بأعلى مستويات اليقظة، واتخاذ الإجراءات الاستباقية حتى تتمكن من التصدي لأنشطتها الخبيثة”.
لمعرفة المزيد حول وحدة DeathNote التابعة لمجموعة “لازاروس”، والمراحل المختلفة للحملة والتكتيكات والتقنيات والإجراءات التي تتبعها، يمكن الرجوع إلى التقرير الكامل على Securelist.
ولتفادي الوقوع ضحية لهجمات مستهدفة من قبل جهات تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع الإجراءات التالية:
⦁ إجراء تدقيق للأمن السيبراني ومراقبة الشبكات باستمرار لتصحيح أي نقاط ضعف أو لعلاج أي عناصر خبيثة يتم اكتشافها في محيط الشبكة أو داخلها.
⦁ توفير ⦁ تدريب ⦁ النظافة ⦁ السيبراني⦁ ة للموظفين، لاسيما وأن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى.
⦁ توعية الموظفين حول ضرورة تنزيل البرامج وتطبيقات الأجهزة المحمولة فقط من مصادر موثوقة ومتاجر التطبيقات الرسمية.
⦁ استخدام أحد برامج الكشف عن نقاط النهاية للمساعدة على اكتشاف الحوادث في الوقت المناسب والاستجابة للتهديدات المتقدمة. وتوفر خدمة ⦁ Kaspersky Managed Detection and Response القدرات اللازمة لتعقب التهديدات ضد الهجمات المستهدفة.
⦁ اعتماد ⦁ حل لمكافحة الاحتيال لحماية معاملات العملة المشفرة من خلال اكتشاف ومنع سرقة الحسابات والمعاملات التي لم يتم التحقق منها وغسيل الأموال.