في حملة عالمية مجموعة لازاروس المرتبطة بكوريا الشمالية قامت بحملةهجومية تشمل استغلال الفرص بشكل عشوائي لثغرات أمان في Log4j لنشر برامج الوصول عن بُعد غير الموثقة مسبقًا (RATs) على الأجهزة المصابة.
تتبع Cisco Talos هذه الأنشطة تحت اسم Operation Blacksmith، حيث يتم استخدام ثلاث عائلات ضارة قائمة على DLang، بما في ذلك RAT يُسمى NineRAT الذي يستفيد من تليجرام للتحكم والتحكم (C2)، و DLRAT، وبرنامج تنزيل يُسمى BottomLoader.
ووصفت شركة الأمان هذه التكتيكات الأخيرة للخصم كتحول نهائي وأنها تتداخل مع المجموعة المتتبعة على نطاق واسع باسم Andariel (المعروفة أيضًا باسم Onyx Sleet أو Silent Chollima)، وهي إحدى الفرعيات ضمن مظلة لازاروس.
"تتولى Andariel عادة مهمة الوصول الأولي، واستطلاع المعلومات، وإقامة وصول طويل الأمد لأغراض التجسس في دعم مصالح الحكومة الكورية الشمالية الوطنية"، وفقًا لباحثي Talos Jung soo An و Asheer Malhotra و Vitor Ventura في تقرير فني تم مشاركته مع The Hacker News.
تشمل سلاسل الهجوم استغلال CVE-2021-44228 (المعروفة أيضًا باسم Log4Shell) ضد خوادم VMWare Horizon ذات الوصول العام لتسليم NineRAT. تستهدف بعض القطاعات البارزة تصنيع الآلات والزراعة والأمان الفعلي.
لا يفاجئ استغلال Log4Shell نظرًا إلى أن 2.8٪ من التطبيقات لا تزال تستخدم الإصدارات القابلة للاختراق من المكتبة (من 2.0-beta9 حتى 2.15.0) بعد مرور عامين على الكشف العام، وفقًا لـ Veracode، مع 3.8٪ إضافية تستخدم Log4j 2.17.0، والتي، على الرغم من أنها ليست عرضة لـ CVE-2021-44228، إلا أنها عرضة لـ CVE-2021-44832.
يُقال إن NineRAT، الذي تم تطويره لأول مرة حوالي مايو 2022، تم استخدامه لأول مرة في مارس 2023 في هجوم استهدف منظمة زراعية في أمريكا الجنوبية، ثم مرة أخرى في سبتمبر 2023 على كيان تصنيع أوروبي. من خلال استخدام خدمة التراسل الشرعية مثل تليجرام للاتصالات C2، يكون الهدف هو تجنب الكشف.
يعمل البرامج الضارة كوسيلة رئيسية للتفاعل مع الطرف المصاب، مما يتيح للمهاجمين إرسال أوامر لجمع معلومات النظام، وتحميل ملفات ذات أهمية، وتنزيل ملفات إضافية، وحتى إلغاء تثبيت نفسه وترقيته. "بمجرد تنشيط NineRAT، يقبل البرنامج الأوامر الأولية من قناة C2 المستندة إلى تليجرام، لمرة أخرى لبصم الأنظمة المصابة"، مما لفت الباحثون الانتباه اليه.
بصمة الأنظمة المصابة تشير إلى أن البيانات التي جمعها لازاروس من خلال NineRAT قد تكون مشتركة مع مجموعات APT أخرى وتتواجد في الأساس في مستودع مختلف عن بيانات البصمة التي جمعها لازاروس في المرحلة الأولية للوصول الأولي ونشر الزرع."
تم استخدام أداة بروكسي مخصصة تُسمى HazyLoad في الهجمات بعد الاستطلاع الأولي، وهي أداة معروفة سابقًا من قبل Microsoft باسم تستخدمها الجماعة كجزء من التسلل للاستفادة من ثغرات أمان حرجة في JetBrains TeamCity (CVE-2023-42793، درجة CVSS: 9.8). يتم تنزيل HazyLoad وتنفيذه بواسطة برنامج ضار آخر يُسمى BottomLoader.
علاوة على ذلك، لوحظ أن Operation Blacksmith تقوم بتسليم DLRAT، وهو برنامج تنزيل و RAT مجهز لأداء استطلاع النظام، ونشر برامج ضارة إضافية، واسترجاع الأوامر من C2 وتنفيذها في الأنظمة المصابة.
أفاد فريق Cisco Talos لـ The Hacker News بأن "DLRAT هو تطور آخر في اتجاه لازاروس، بدأ مع MagicRAT، باستخدام لغات وأطُقُم غير شائعة مع برامج ضارة قابلة للتعديل من أجل تجنب الكشف."
وقال الباحثون: "تُقدم الأدوات المتعددة التي تقدم إمكانية الوصول الخلفي التداخلية لمجموعة لازاروس الاحتياطية في حالة اكتشاف أداة، مما يتيح الوصول الثابت بشكل كبير."
استغلال Log4Shell من قبل Andariel ليس جديدًا، حيث استخدمت الفريق القرصنة هذه الثغرة للوصول الأولي في الماضي لتسليم برنامج ضار للتحكم عن بُعد يُشار إليه باسم EarlyRat.
تأتي هذه الكشف بعد أن قدم مركز الاستجابة الطارئ للأمان ASEC تفاصيل حول استخدام Kimsuky لإصدارات AutoIt لبرامج ضارة مثل Amadey و RftRAT وتوزيعها عبر هجمات تحمل مرفقات وروابطًا مفخخة في محاولة لتجاوز تطبيقات الأمان.
تُعرف Kimsuky، أيضًا باسم APT43 وARCHIPELAGO وBlack Banshee وEmerald Sleet (سابقًا Thallium) وNickel Kimball وVelvet Chollima، كعنصر يعمل تحت إدارة المركز العام للاستطلاع الكوري الشمالي (RGB)، والذي يضم أيضًا مجموعة لازاروس.
تمت معاقبتها من قبل وزارة الخزانة الأمريكية في 30 نوفمبر 2023، لجمع المعلومات الاستخباراتية لدعم أهداف النظام الاستراتيجية.
"بعد السيطرة على النظام المصاب، وللاستفادة من المعلومات، يقوم فريق Kimsuky بتثبيت برامج ضارة متنوعة مثل keyloggers وأدوات استخراج الحسابات وملفات تعريف الارتباط من متصفحات الويب"، قالت ASEC في تحليل نشرته الأسبوع الماضي.
يأتي ذلك أيضًا بعد اكتشاف حملة صيد جديدة مرتبطة بـ Konni تستخدم ملف تنفيذي ضار يتنكر كملف Microsoft Word لتسليم برنامج خلفي يتلقى "أوامر محجوبة" من الفاعل وينفذها في تنسيق XML."