تهديد كوفيد 19 البرمجي
تستهدف مجموعة Lazarus Group أبحاث COVID-19
استخدمت مجموعة Lazarus Group سلالتين من البرامج الضارة في الهجمات الأخيرة. (المصدر: كاسبيرسكي)
استهدفت مجموعة لازاروس ، وهي عصابة كورية شمالية متقدمة للتهديد المستمر ، على ما يبدو مؤخرًا وزارة الصحة الوطنية وشركة تصنيع الأدوية المتورطة في تطوير لقاح COVID-19 في محاولة لسرقة المعلومات ، وفقًا لشركة الأمن Kaspersky.
لم تحدد Kaspersky في تقريرها المنظمتين اللتين تم استهدافهما ببرامج ضارة.
يقول Seongsu Park ، الباحث الأمني في Kaspersky: “في حين أن المجموعة معروفة في الغالب بأنشطتها المالية ، إلا أنها تذكير جيد بأنه يمكنها متابعة البحث الاستراتيجي أيضًا”. “نعتقد أن جميع الكيانات المشاركة حاليًا في أنشطة مثل أبحاث اللقاحات أو التعامل مع الأزمات يجب أن تكون في حالة تأهب قصوى للهجمات الإلكترونية.”
تم إصابة وزارة الصحة التي لم تذكر اسمها ببرنامج ضار wAgent في 27 أكتوبر ، حسب تقارير كاسبيرسكي. أدى ذلك إلى اختراق خادمين من Windows. تم استخدام البرمجيات الخبيثة الخاصة بـ Bookcode في هجوم شركة الأدوية في 25 سبتمبر. تقول Kaspersky إن كلا النوعين من البرامج الضارة مرتبطان بمجموعة Lazarus Group.
وأشار الباحثون إلى أن “التحليل الأعمق وجد أن البرمجيات الخبيثة المستخدمة ضد وزارة الصحة لها نفس مخطط العدوى مثل هجمات Lazarus السابقة على أعمال العملات المشفرة”.
تشريح البرمجيات الخبيثة
Bookcode و wAgent لهما وظائف متشابهة. يقول الباحثون إن لكل منها باب خلفي يمكن المهاجمين من السيطرة الكاملة على جهاز الضحية.
لاحظ الباحثون أن البرمجيات الخبيثة wAgent استخدمت بيانات وصفية مزيفة لجعلها تبدو مثل أداة الضغط الشرعية XZ Utils.
وفقًا لقياس Kaspersky عن بُعد ، تم تنفيذ البرنامج الضار مباشرةً على جهاز الضحية من غلاف سطر الأوامر. استخدم معلمة سلسلة 16 بايت كمفتاح AES لفك تشفير حمولة مضمنة – DLL Windows. بمجرد تحميل الحمولة المضمنة في الذاكرة ، قامت بفك تشفير معلومات التكوين باستخدام مفتاح فك التشفير.
بمجرد أن يجلب البرنامج الضار الحمولة التالية من خادم الأوامر والتحكم ، تم تحميله مباشرة في الذاكرة. كانت الحمولة عبارة عن Windows DLL مع وظائف مستتر.
لاحظ الباحثون “باستخدام هذا الباب الخلفي في الذاكرة ، نفذ مشغل البرامج الضارة العديد من أوامر shell لجمع معلومات الضحية”.
كود الكتاب
تم اكتشاف البرنامج الضار Bookcode المستخدم لاستهداف شركة الأدوية سابقًا وهو يستهدف شركة برمجيات في كوريا الجنوبية ، وفقًا لـ Kaspersky.
وأشار الباحثون إلى “لقد شهدنا أيضًا قيام مجموعة Lazarus Group بعملية تصيد احتيالي أو اختراق استراتيجي لمواقع الويب من أجل تقديم برنامج ضار لـ Bookcode في الماضي”. “ومع ذلك ، لم نتمكن من تحديد ناقل العدوى الأولي الدقيق لهذه الحادثة. إجراء العدوى بالكامل الذي أكده القياس عن بعد لدينا مشابه جدًا للإجراء الموضح في أحدث منشورات ESET حول هذا الموضوع.”
عند التنفيذ ، قرأت البرامج الضارة لـ Bookcode ملف التكوين وأرسلت معلومات حول جهاز الضحية إلى البنية التحتية للمهاجم. بعد الاتصال بخادم C2 بنجاح ، قدمت البرامج الضارة وظائف الباب الخلفي.
وقال الباحثون: “في مرحلة الحركة الجانبية ، استخدم مشغل البرامج الضارة منهجيات معروفة. وبعد الحصول على معلومات الحساب ، اتصلوا بمضيف آخر باستخدام الأمر” net “ونفذوا حمولة منسوخة باستخدام الأمر” wmic “”. “علاوة على ذلك ، استخدم Lazarus ADfind لجمع معلومات إضافية من Active Directory. باستخدام هذه الأداة المساعدة ، استخرج ممثل التهديد قائمة بمستخدمي الضحية وأجهزة الكمبيوتر.”
تاريخ مجموعة لازاروس
يُزعم أن مجموعة Lazarus قد تورطت في العديد من السرقات من البنوك وتبادل العملات الرقمية ، بما في ذلك سرقة 81 مليون دولار من بنك بنغلاديش في عام 2016.
قدر تقرير صادر عن الأمم المتحدة لعام 2019 أن المجموعة قد سرقت حوالي 571 مليون دولار من العملات المشفرة بين عامي 2017 و 2018 من خلال استهداف خمسة بورصات في آسيا. يُزعم أن مجموعة لازاروس تقدم الأموال إلى حكومة كوريا الشمالية