كشفت تقارير أمنية عن برمجية RemotePE الخبيثة التي تستخدمها مجموعة لازاروس لاستهداف شركات التمويل والعملات الرقمية عبر هجمات معقدة تعتمد على الذاكرة فقط.
تستمر مجموعة لازاروس (Lazarus Group) المرتبطة بكوريا الشمالية في تطوير ترسانتها الرقمية، حيث رصد خبراء الأمن السيبراني مؤخراً برمجية خبيثة متطورة تُعرف باسم "RemotePE". هذه البرمجية، وفقاً لما تابعه تيكبامين، تمثل جيلاً جديداً من حصان طروادة للوصول عن بُعد (RAT)، وتتميز بقدرتها العالية على التخفي وتجنب الرصد التقليدي.
كيف تعمل برمجية RemotePE في استهداف المؤسسات المالية؟
تعتمد الهجمات التي تقودها مجموعة لازاروس على سلسلة معقدة من المراحل لضمان نجاح الاختراق وعدم ترك أي أثر تقني خلفها. تبدأ الرحلة غالباً بمحاولة استدراج الموظفين عبر أساليب الهندسة الاجتماعية المتقدمة.
تتكون سلسلة العدوى من ثلاث مراحل رئيسية كالتالي:
- المرحلة الأولى: استخدام ملف DPAPILoader لفك تشفير الحمولة الخبيثة من القرص الصلب باستخدام واجهة حماية البيانات في ويندوز.
- المرحلة الثانية: تحميل ملف RemotePELoader الذي يقوم بالاتصال بخادم القيادة والسيطرة (C2) لانتظار التعليمات التالية.
- المرحلة الثالثة: تشغيل برمجية RemotePE النهائية داخل ذاكرة النظام مباشرة، وهي مرحلة لا تكتب أي ملفات على القرص، مما يجعلها غير مرئية لأنظمة الفحص التقليدية.
ما هي أبرز المميزات التقنية لبرمجية RemotePE؟
تعتبر هذه البرمجية سلاحاً فتاكاً نظراً لقدرتها على العمل بالكامل داخل الذاكرة (Memory-only)، وهو ما يعني اختفاء أي أدلة جنائية رقمية فور إعادة تشغيل الجهاز. كما أنها مكتوبة بلغة C++ وتدعم مجموعة واسعة من الأوامر التخريبية.
قدرات البرمجية وتكتيكات التخفي:
- تنفيذ الأوامر عن بُعد عبر 6 فئات مختلفة من العمليات التجسسية.
- تجاوز أنظمة الحماية المتطورة عبر تقنيات مثل Hell's Gate.
- تعطيل ميزة تتبع الأحداث في ويندوز (ETW) لمنع تسجيل أنشطتها المشبوهة.
- المسح الآمن للملفات: تقوم البرمجية بالكتابة فوق الملفات المستهدفة ببيانات ثابتة 7 مرات متتالية قبل حذفها نهائياً لضمان عدم استرجاعها.
خداع الموظفين عبر تيليجرام ومنصات المواعيد الوهمية
وفقاً لما ذكره تيكبامين، فقد بدأت إحدى الهجمات الناجحة باستهداف موظف في قطاع التمويل اللامركزي (DeFi) عبر تطبيق تيليجرام (Telegram). انتحل المهاجمون صفة زميل عمل وقاموا بجدولة اجتماع عبر نطاقات وهمية تحاكي مواقع شهيرة مثل Calendly وPicktime.
تشير العينات التي تم تحليلها إلى أن برمجية RemotePE كانت قيد التطوير النشط بين منتصف عام 2023 ومنتصف عام 2024. ويعكس هذا الجدول الزمني إصرار مجموعة لازاروس على تحديث أدواتها باستمرار لتجاوز الحلول الأمنية الحديثة (EDR)، مما يضع شركات العملات الرقمية في حالة استنفار دائم.
الخلاصة: الحذر هو خط الدفاع الأول
تظهر برمجية RemotePE أن التهديدات السيبرانية لم تعد تكتفي بالملفات التقليدية، بل انتقلت للعمل في الخفاء داخل ذاكرة الأنظمة. يجب على المؤسسات المالية تعزيز وعي موظفيها بمخاطر الهندسة الاجتماعية، وتطبيق سياسات أمنية صارمة للتحقق من الهوية الرقمية قبل التفاعل مع أي روابط أو مواعيد خارجية. إن مواجهة لازاروس تتطلب مزيجاً من الحلول التقنية المتقدمة واليقظة البشرية المستمرة.
