ووفقا لـ«كاسبرسكي»، تُعد عصابة «لازاروس» أكثر عصابات الإنترنت نشاطًا في العالم، وهي تنشط منذ العام 2009 على الأقلّ، موضحة أنه بخلاف غالبية عصابات التهديدات المتقدمة المستمرة التي تحظى برعاية حكومية، فقد جعلت عصابة التهديدات المتقدمة، المكاسب المالية أحد أهدافها الرئيسية، وتواصل السعي في سبيل ذلك لإيجاد طرق جديدة لاستهداف المتعاملين بالعملات الرقمية، مع تواصل النمو في أسواق العملات الرقمية والرموز غير القابلة للاستبدال (NFT) والتمويل اللا مركزي، المعروف اختصارًا بالاسم DeFi.
تطبيق مفخخوكشف باحثو كاسبرسكي في ديسمبر الماضي، عن حملة تخريبية استهدفت بها «لازاروس» شركات العملات الرقمية باستخدام تطبيق DeFi مفخّخ بتروجان خطر.
ويتضمّن التطبيق برمجية رسمية سليمة تُدعى DeFi Wallet، تدير محافظ العملات الرقمية، ولكن التطبيق يضع عند تنفيذه ملفًا خبيثًا بجانب برمجية التثبيت الخاصة بالبرمجية السليمة، فيفعّل هذا الملف الخبيث برمجية خبيثة أخرى تتضمّن مسار تثبيت معدّلًا للتروجان.
وبمجرد إنشاء هذه البرمجية الخبيثة فإنها تُلغي التطبيق السليم ليحلّ محله التطبيق المفخخ بالتروجان.
منفذ خلفيوليست البرمجية الخبيثة المستخدمة في إستراتيجية الإصابة هذه، سوى منفذ خلفي بمزايا كاملة يتمتع بالقدرة على التحكّم في أنظمة الضحية عن بُعد، ويتيح للمهاجمين حذف الملفات وجمع المعلومات والاتصال بعناوين IP محددة والتواصل مع خادم القيادة والسيطرة.
ويفترض الباحثون أن الدافع وراء هذه الحملة كان الكسب المالي، استنادًا على تاريخ هجمات «لازاروس».
ووجد الخبراء بعد بحثهم في وظائف هذا المنفذ الخلفي، العديد من التداخلات مع أدوات أخرى تستخدمها العصابة، مثل مجموعات البرمجيات الخبيثة «كوكي تايم» و«ثريت نيدل»، كذلك يجري استخدام مخطط الإصابة متعدد المراحل هذا بكثافة في البنية التحتية للعصابة.
طرق معقدةوأشار سيونجسو بارك، الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، إلى أن فريقه لاحظ اهتمام «لازاروس» الحالي بمجال العملات الرقمية، وتطويرها طرقًا معقدة للإيقاع بضحاياها دون لفت الانتباه إلى طريقة الإصابة التي تتبعها، مضيفًا: «تستمر مجالات العملات الرقمية والبلوك تشين في التطور واستقطاب مزيد من الاستثمارات، ما يجعلها أيضًا جذابة، لا للمحتالين والمتصيدين وحدهم، وإنما أيضًا للباحثين عن الطرائد الكبيرة، ومنهم عصابات التهديدات المتقدمة المستمرة ذات الدوافع المالية».
وتابع: «وفي ضوء نموّ سوق العملات الرقمية، لا نتوقع أي تراجع قريب في اهتمام Lazarus بهذا المجال، ولذا نحث الشركات على أن تظل يقظة بشأن الروابط غير المعروفة والمرفقات في رسائل البريد الإلكتروني، التي قد تكون احتيالية حتى وإن بدت مألوفة وآمنة».
توصيات مهمةوأوصى باحثو كاسبرسكي لتجنب الوقوع ضحية لهجمات موجّهة تشنّها جهات تهديد معروفة أو مجهولة، بإجراء تدقيق لمنظومة الأمن الرقمي ومراقبة مستمرة للشبكات المؤسسية لمعالجة أي ثغرات أو عناصر خبيثة تُكتشف في محيط الشبكة أو داخلها، وأيضا تزويد الموظفين بالتدريب الأساسي على السلامة الرقمية، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيّد أو بالاعتماد على مبادئ الهندسة الاجتماعية، إضافة إلى توعية الموظفين بشأن ضرورة عدم تنزيل البرمجيات والتطبيقات على الأجهزة المحمولة إلا من المصادر الموثوق بها ومتاجر التطبيقات الرسمية، واستخدام حلول للكشف عن التهديدات عند النقاط الطرفية والاستجابة لها (EDR)،، لتمكين التعامل مع حوادث الأمن الرقمي في الوقت المناسب لا سيما التهديدات المتقدمة، بخلاف توظيف حلّ لمكافحة الاحتيال يمكن أن يحمي المعاملات التي تُجرى بالعملات الرقمية من خلال الكشف عن محاولات سرقة الحسابات والمعاملات وغسل الأموال، ومنعها.
