كشف تقرير جديد عن قيام قراصنة كوريا الشمالية باستغلال منصة جيت هاب كخوادم قيادة وسيطرة لشن هجمات سيبرانية معقدة تستهدف المؤسسات.
كيف ينفذ قراصنة كوريا الشمالية هجماتهم؟
تعتمد سلسلة الهجوم المعقدة على رسائل التصيد الاحتيالي التي تتضمن ملفات اختصار ويندوز (LNK) مموهة. بمجرد فتحها، يظهر للضحية ملف PDF كطعم، بينما يعمل برنامج PowerShell خبيث في الخلفية بصمت تام.
وفقاً لتحليلات خبراء تيكبامين، يمتلك هذا البرنامج النصي قدرات متطورة للتهرب من التحليل. يقوم البرنامج بفحص النظام بحثاً عن الأجهزة الوهمية أو أدوات التصحيح لضمان عدم اكتشافه مبكراً.
ما هو دور جيت هاب في هذه الهجمات السيبرانية؟
بعد تجاوز الفحص الأمني، يقوم البرنامج الخبيث باستخراج نص VBScript لضمان بقائه في النظام. يتم ذلك عبر جدولة مهمة مخفية تعمل كل 30 دقيقة، مما يضمن استمرار التشغيل التلقائي.
يقوم البرنامج النصي بجمع بيانات شاملة عن الجهاز المخترق، ثم يرسلها مباشرة إلى مستودعات جيت هاب. يستخدم المهاجمون حسابات وهمية لإدارة هذه العمليات واستقبال الأوامر.
أبرز الحسابات الوهمية المستخدمة في الهجوم:
- حساب motoralis الأساسي
- حساب God0808RAMA
- حساب Pigresy80
- حساب pandora0009
لماذا يتخلى الهاكرز عن البرمجيات الخبيثة التقليدية؟
لاحظ الباحثون في تيكبامين تحولاً استراتيجياً في تكتيكات المجموعات المرتبطة بكوريا الشمالية مثل Kimsuky. بدلاً من الاعتماد على برمجيات خبيثة مخصصة، أصبحوا يفضلون أدوات النظام الأصلية.
أسباب هذا التحول الاستراتيجي:
- تقليل معدلات الاكتشاف من قبل برامج الحماية ومضادات الفيروسات.
- الاستفادة من الثقة الممنوحة لمنصات مطورين شهيرة مثل جيت هاب.
- الاستهداف الواسع والسريع دون الحاجة لتطوير أدوات اختراق جديدة ومعقدة.
- استخدام أدوات ويندوز الشرعية (LolBins) للتمويه والتهرب من المراقبة.
في النهاية، يثبت استغلال قراصنة كوريا الشمالية لمنصة جيت هاب أن التهديدات تتطور بشكل متسارع. يعكس هذا التوجه خطورة استخدام أدوات النظام الشرعية لتنفيذ هجمات سيبرانية صامتة وخطيرة للغاية.
