جاكرتا - لقد مر ما يقرب من 10 سنوات منذ أن كشف خبراء كاسبرسكي عن حملة تجسس إلكترونية نشطة تستهدف على وجه التحديد مركز الأبحاث الكوري الجنوبي. وتواصل المجموعة التي يطلق عليها اسم "كيمسوكي" إظهار تحديثات مثمرة للأدوات والتكتيكات لاستهداف الكيانات ذات الصلة بكوريا الشمالية.
وكشف كبار خبراء كاسبرسكي عن المزيد من النتائج التي توصل إليها، بما في ذلك إمكانية قيام هذا الفاعل المهدد بالتهديد المستمر المتقدم (APT) في توسيع عملياته بقدراته الوفيرة.
ووجد سيونغسو بارك، الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي، أن المجموعة المعروفة تعمل باستمرار على تكوين خوادم القيادة والتحكم متعددة المراحل (C2) مع العديد من خدمات الاستضافة التجارية الموجودة في جميع أنحاء العالم.
خادم القيادة والتحكم هو خادم يساعد الجهات الفاعلة المهددة على التحكم في البرامج الضارة الخاصة بها وإرسال أوامر ضارة إلى أعضائها وتنظيم برامج التجسس وإرسال الحمولات والمزيد.
وقال بارك إنه في عام 2019 كان هناك أقل من 100 خادم C2 ، واعتبارا من يوليو من هذا العام ، كان لدى كيمسوكي بالفعل 603 مراكز قيادة خطيرة مع المزيد من الهجمات التي قد تمتد إلى خارج شبه الجزيرة الكورية.
وقال بارك: "يظهر تاريخها أن الوكالات الحكومية والكيانات الدبلوماسية ووسائل الإعلام وحتى شركات العملات المشفرة في آسيا والمحيط الهادئ يجب أن تكون حذرة من هذه التهديدات الخفية".
يعد العدد الهائل من خوادم C2 جزءا من عمليات Kimsuky المستمرة في آسيا والمحيط الهادئ وخارجها. وفي أوائل عام 2022، لاحظ فريق خبراء كاسبرسكي موجة أخرى من الهجمات التي استهدفت الصحفيين والكيانات الدبلوماسية والأكاديمية في كوريا الجنوبية.
أطلق على الهجوم اسم مجموعة "GoldDragon" ، وهي جهة فاعلة تهديد تبدأ سلسلة العدوى عن طريق إرسال رسائل بريد إلكتروني للتصيد الاحتيالي تحتوي على مستندات ماكرو Word مضمنة.
مع مزيد من التحليل ، وجد بارك نصا برمجيا من جانب الخادم مرتبطا بمجموعة GoldDragon ، مما سمح للخبراء برسم خريطة لعمليات C2 للمجموعة.
يرسل الجاني رسائل بريد إلكتروني للتصيد الاحتيالي إلى الضحايا المحتملين لتنزيل مستندات إضافية. إذا نقرت الضحية على الرابط ، فسيكون هناك اتصال بالمرحلة الأولى من خادم C2 ، مع عنوان البريد الإلكتروني كمعلمة. يتحقق خادم C2 في المرحلة الأولى من معلمات عنوان البريد الإلكتروني الوارد من تلك المتوقعة ويرسل مستندات ضارة إذا كانت في القائمة المستهدفة. يقوم البرنامج النصي للمرحلة الأولى أيضا بتمرير عنوان IP الخاص بالضحية إلى خادم المرحلة التالية. عند فتح المستند الذي تم استرداده، فإنه يتصل بخادم C2 الثاني. يقوم البرنامج النصي المقابل على خادم C2 الثاني بالتحقق من عنوان IP المعاد توجيهه من خادم المرحلة الأولى للتحقق مما إذا كان طلبا متوقعا من نفس الضحية. باستخدام نظام التحقق من صحة IP هذا ، يتحقق الممثل مما إذا كان الطلب الوارد من الضحية أم لا. بالإضافة إلى ذلك ، يعتمد المشغل على بعض العمليات الأخرى لنقل الحمل التالي بعناية مثل التحقق من نوع نظام التشغيل وسلسلة وكيل المستخدم المحددة مسبقا.تقنية أخرى مهمة يستخدمها كيمسوكي هي استخدام عملية التحقق من العميل للتأكد من أن الضحايا ذوي الصلة يريدون استهدافهم.
"لقد رأينا أن مجموعة كيمسوكي تواصل تطوير مخططات الإصابة بالبرامج الضارة واعتماد تقنيات جديدة لإعاقة التحليل. الصعوبة في تتبع هذه المجموعة هي صعوبة الحصول على سلسلة كاملة من العدوى".
كما نرى من الأبحاث ، اعتمدت الجهات الفاعلة في مجال التهديد مؤخرا منهجيات التحقق من الضحايا في خوادم القيادة والتحكم الخاصة بهم. على الرغم من صعوبة الحصول على كائنات من جانب الخادم ، يعتقد بارك أنه إذا قاموا بتحليل خادم المهاجم والبرامج الضارة من جانب الضحية ، فيمكنه أن يفهم تماما كيف يدير ممثل التهديد بنيته التحتية ونوع التقنية المستخدمة.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
