استمع إلى المقال

الهجمات السيبرانية تشكل التهديد الأكثر خطورة في العصر الحديث، حيث تستخدم بعض الحكومات والكيانات القوى القراصنة لتحقيق أهداف سياسية وتقويض حقوق الإنسان، حيث تركز هذه الهجمات على استهداف المؤسسات والمنظمات التي تدعم حقوق الإنسان والنشطاء المدافعين عنها، بهدف إسكات الصوت الحر والحد من الحريات الأساسية.

هذه الهجمات تتميز بتقنيات متطورة واستخدام برامج خبيثة متخصصة للتجسس وسرقة المعلومات، ويستغل القراصنة الثغرات الأمنية، وينفذون هجمات مستهدفة تستهدف جمع المعلومات الحساسة وتقديمها إلى جهات تعمل على تقويض حقوق الإنسان وتقييد الحريات.

الأهداف تتراوح بين المنظمات الحقوقية والمؤسسات الإعلامية إلى المنظمات المدافعة عن الحريات الفردية، ويتم استخدام تقنيات متنوعة مثل البريد الاحتيالي والملفات المرفقة الملغومة لاستدراج الضحايا وتنفيذ الهجمات.

قراصنة “كيمسوكي”

يواصل قراصنة “كيمسوكي” الكوريين الشماليين هجماتهم مع برمجية استطلاع متقدمة للمعلومات، حيث لوحظ أن هذه المجموعة المعروفة بالتهديد المستمر المتقدم تستخدم برمجية مخصصة تسمى “RandomQuery” كجزء من عمليات الاستطلاع وسرقة المعلومات.

الباحثون من شركة الأمن السيبراني “SentinelOne” الأميركية ذكروا في تقرير نشر بالأمس، “في الآونة الأخيرة، لاحظنا أن مجموعة “كيمسوكي” يوزعون برمجيات مخصصة على نحو مستمر كجزء من حملات الاستطلاع لتمكين هجمات لاحقة”.

الحملة المستهدفة الجارية تتركز، وفقا للشركة، على نحو رئيسي في استهداف خدمات المعلومات والمنظمات التي تدعم نشطاء حقوق الإنسان والمنشقين الكوريين الشماليين.

مجموعة “كيمسوكي” تعمل منذ عام 2012 وتظهر أنماط استهداف تتوافق مع مهام وأولويات كوريا الشمالية، حيث تشمل مهام جمع المعلومات باستخدام مجموعة متنوعة من البرمجيات الضارة، بما في ذلك برنامج استطلاع آخر يسمى “ReconShark”.

بداية النشاطات

أحدث سلسلة نشاطات مرتبطة بهذه المجموعة بدأت في 5 أيار/مايو 2023، وتستخدم تحسينا أداة “RandomQuery” مصمما خصيصا لتحديد الملفات وسحب البيانات الحساسة، تُعتبر هذه الأداة، جنبا إلى جنب مع “FlowerPower” و”AppleSeed”، أدواتا منتشرة على نحو متكرر في ترسانة “كيمسوكي”، حيث تعمل الأداة الأولى كأداة سرقة معلومات وقناة لتوزيع برامج الاختراق عن بُعد مثل “TutRAT” و”xRAT”.

هذه الهجمات تبدأ برسائل احتيالية تدعي أنها من موقع “Daily NK” وهو موقع إخباري لكوريا الجنوبية بارز يغطي شؤون كوريا الشمالية، لإغراء الأهداف المحتملة بفتح ملف “Microsoft Compiled HTML Help” (CHM).

من الجدير بالذكر في هذه المرحلة أن ملفات “CHM” أيضا استخدمت كطُعم من قبل كيان دولي تابع لكوري شمالي آخر يُشار إليه بـ “ScarCruft”، حيث يؤدي فتح ملف “CHM” إلى تنفيذ نص “Visual Basic Script” يرسل طلب “HTTP GET” إلى خادم عن بُعد لاسترداد الحمولة المرحلة الثانية، وهي نسخة من أداة “RandomQuery” تعتمد على “VBScript”، وثم يقوم البرنامج الضار بجمع بيانات النظام والعمليات الجارية والتطبيقات المثبتة والملفات من مجلدات مختلفة، ويتم إرسالها إلى خادم التحكم والسيطرة.

زيادة اليقظة

في هذا التقرير، قمنا بتحليل حملة جديدة لمجموعة “كيمسوكي”، وهي مجموعة تهديد مستمر متقدم تابعة لكوريا الشمالية، تستخدم برمجية مخصصة تسمى “RandomQuery” كجزء من عملية استطلاع وسحب المعلومات من الأهداف ذات الصلة بالسياسة وحقوق الإنسان في كوريا الشمالية والدول المجاورة، وقد أظهرنا كيف تستخدم المجموعة أساليب التصيد الاحتيالي والهجوم على المواقع لإغراء الضحايا وتسليم حمولاتها الضارة، وكيف تستغل ثغرات في خدمات البريد الإلكتروني وغيرها لزيادة اختراقها.

هذا الموضوع يعد مهما؛ لأنه يكشف عن التطور المستمر في قدرات وأهداف “كيمسوكي”، والتي تشكل تهديدا خطيرا للأمن القومي والإقليمي.

من خلال هذا التقرير نستنتج أن “كيمسوكي” تواصل تطوير وتنفيذ حملات متطورة لجمع المعلومات من الأهداف ذات الصلة بالسياسة وحقوق الإنسان في كوريا الشمالية، وتستخدم المجموعة أدوات مخصصة مثل “RandomQuery” و”ReconShark” لاستنزاف البيانات الحساسة وإعداد الأرضية لهجمات لاحقة.

كما تستغل المجموعة ثغرات لنشر البرامج الضارة، وتشير هذه الأنشطة إلى أن “كيمسوكي” تعتبر من بين أكثر المجموعات نشاطا وخطورة في المشهد التهديدي الكوري الشمالي، وتستحق المزيد من الرصد والتحليل من قبل المجتمع الأمني، وزيادة درجات اليقظة والحذر تجاه هذه المجموعة، وأن يطبقوا التدابير المناسبة لحماية شبكاتهم من هجمات “كيمسوكي”.