اكتشف خبراء الأمن السيبراني نسخة جديدة ومطورة من برمجية LOTUSLITE الخبيثة، تستهدف القطاع المصرفي في الهند والدوائر السياسية بكوريا الجنوبية، وفقاً لتقرير تيكبامين.
ما هي برمجية LOTUSLITE وكيف تعمل؟
تُعد برمجية LOTUSLITE أداة تجسس متطورة تستخدمها مجموعات التهديد المتقدمة للوصول إلى البيانات الحساسة. وقد لاحظ الباحثون في شركة "أكرونيس" للأمن أن النسخة الجديدة تظهر تحسينات تدريجية مقارنة بسابقاتها، مما يشير إلى أن مطوريها يقومون بصيانتها وتطويرها بانتظام لضمان بقائها بعيدة عن الأنظار.
تتميز البرمجية بقدرتها على التواصل مع خوادم القيادة والسيطرة (C2) القائمة على نظام DNS الديناميكي عبر بروتوكول HTTPS المشفر. هذا النوع من التواصل يجعل اكتشاف البرمجية من قبل أنظمة الحماية التقليدية أمراً صعباً، حيث يندمج نشاطها مع حركة مرور الويب الطبيعية للمؤسسات.
كيف استهدفت مجموعة "موستانج باندا" بنوك الهند؟
كشفت التحليلات الأمنية التي تابعها فريق تيكبامين أن مجموعة القرصنة الصينية المعروفة باسم موستانج باندا (Mustang Panda) قد حولت تركيزها الجغرافي بشكل كبير نحو الهند. تعتمد الهجمة في بدايتها على ملفات مساعدة مترجمة بصيغة (CHM)، وهي ملفات تبدو شرعية ولكنها تتضمن حمولات برمجية ضارة.
عند فتح الملف، تظهر صفحة HTML منبثقة تطلب من المستخدم الضغط على زر "نعم". بمجرد موافقة المستخدم، تبدأ العملية بصمت عبر الخطوات التالية:
- استرجاع وتنفيذ برمجية "جافا سكريبت" خبيثة من خادم بعيد يُدعى "cosmosmusic".
- استخراج وتشغيل البرمجية الخبيثة المختبئة داخل ملف CHM الأصلي.
- استخدام تقنية تحميل مكتبات DLL الجانبية (DLL side-loading) لتجاوز آليات الدفاع.
- تفعيل مكتبة ضارة تُسمى "dnx.onecore.dll" وهي النسخة المطورة من LOTUSLITE.
لماذا تم استهداف الدوائر السياسية في كوريا الجنوبية؟
لم يقتصر نشاط مجموعة موستانج باندا على القطاع المالي في الهند، بل كشف المحللون عن حملات مشابهة تستهدف أفراداً داخل المجتمع الدبلوماسي والسياسي في كوريا الجنوبية. وحسب ما ورد في تقارير تيكبامين، فإن المهاجمين يهتمون بشكل خاص بالأفراد والجهات المنخرطة في القضايا التالية:
- شؤون شبه الجزيرة الكورية والعلاقات بين الكوريتين.
- مناقشات السياسات المتعلقة بكوريا الشمالية.
- حوارات ومبادرات الأمن في منطقة المحيطين الهندي والهادئ.
هذا التوسع الجغرافي والقطاعي يشير إلى استراتيجية استخباراتية شاملة تهدف إلى جمع معلومات جيوسياسية حساسة، مما يؤكد أن الدوافع وراء هذه الهجمات هي التجسس القومي وليس السعي وراء مكاسب مالية فورية.
ما هي القدرات التقنية للنسخة الجديدة من LOTUSLITE؟
تتمتع النسخة المطورة من البرمجية بمجموعة من الميزات التي تجعلها أداة فعالة للغاية للتجسس طويل الأمد. وبناءً على التحليلات التقنية، فإن أهم قدراتها تشمل:
- الوصول عن بعد: توفر واجهة تحكم كاملة (Remote Shell) تتيح للمهاجمين تنفيذ الأوامر على الجهاز الضحية.
- إدارة الملفات: القدرة على البحث عن ملفات معينة، سرقتها، أو تعديل محتواها وتدميره.
- التخفي العملياتي: تعمل البرمجية في خلفية النظام دون لفت انتباه المستخدم، مع القدرة على إدارة الجلسات بشكل مستمر.
- تجاوز الرقابة: الاعتماد على نطاقات مثل "editor.gleeze.com" لاستقبال التعليمات وإرسال البيانات المسروقة بعيداً عن أعين الرقابة.
في الختام، يشدد خبراء تيكبامين على ضرورة توخي الحذر عند التعامل مع ملفات CHM أو الروابط المجهولة، حيث تستمر المجموعات السيبرانية في تطوير أساليبها لاختراق أكثر القطاعات حساسية في العالم.
