انتحال صفة كتاب برامج تلفزيونية كورية لاختراق الضحايا ونشر برمجيات خبيثة

كشف باحثون في الأمن السيبراني عن حملة متقدمة نفذها مهاجمون انتحلوا صفة كتّاب يعملون في شبكات بث تلفزيوني كبرى في كوريا الجنوبية، بهدف خداع الضحايا ودفعهم إلى فتح مستندات خبيثة.

وتمثل الحملة، التي تعرف باسم Operation Artemis، تطوراً لافتاً في أساليب الهندسة الاجتماعية، حيث جرى استغلال الثقة المرتبطة بشخصيات إعلامية معروفة لبناء مصداقية أولية مع المستهدفين، قبل تمرير حمولة خبيثة تؤدي إلى اختراق أنظمتهم.

وتظهر الحملة نهجاً هجومياً متعدد المراحل، يجمع بين الخداع الاجتماعي وأساليب تقنية متقدمة للتمويه وتجاوز أدوات الرصد التقليدية.

تواصل احترافي مزيف وبناء ثقة محسوب

يعمد المهاجمون إلى التواصل مع الضحايا عبر رسائل بريد إلكتروني مصاغة بأسلوب رسمي كطلبات مقابلات إعلامية أو فرص تعاون مهني.

ويقدم الفاعلون أنفسهم على أنهم كتّاب معروفون في برامج تلفزيونية كورية بارزة، مستخدمين مقترحات واقعية تتناول قضايا حساسة مثل شؤون كوريا الشمالية وملفات حقوق الإنسان، بما ينسجم مع اهتمامات الفئات المستهدفة.

وتكمن فعالية هذا الأسلوب في أنه يستهدف أكاديميين وصحافيين وخبراء سياسات عامة، وهم فئات اعتادت التعامل مع مؤسسات إعلامية، بهدف تقليل مستوى الشك الأولي وزيادة فرص نجاح الهجوم.

مستندات HWP كبوابة للاختراق

أشار محللو شركة Genians إلى أن المهاجمين يزرعون البرمجية الخبيثة داخل ملفات HWP، وهي الصيغة القياسية لبرنامج Hangul Word Processor المستخدم على نطاق واسع في كوريا الجنوبية.

وتصل هذه الملفات إلى الضحايا على هيئة مرفقات تبدو كاستبيانات مقابلات أو أدلة تنظيم فعاليات. وبمجرد فتح المستند والنقر على روابط مضمنة داخله، تبدأ سلسلة العدوى في العمل بصمت داخل النظام.

تحميل جانبي لـ DLL وتمويه متقدم

تظهر آلية التنفيذ التقنية مستوى عالياً من التعقيد، حيث يعتمد الهجوم على أسلوب DLL side-loading، وهو أسلوب يستغل أدوات نظام شرعية، من بينها أدوات Microsoft Sysinternals، لتحميل مكتبات خبيثة دون إثارة الشبهات.

ويضع المهاجمون ملفات DLL خبيثة بجانب ملفات تنفيذية سليمة لدفع نظام Windows إلى تحميل المكتبة المزورة تلقائياً بدلاً من الأصلية.

وعلى وجه التحديد، ينشئ الهجوم ملفات باسم version.dll، يتم تحميلها بواسطة عمليات شرعية مثل vhelp.exe و mhelp.exe، وهو ما يسمح بتجاوز حلول الحماية المعتمدة على التواقيع، إذ تبدو العمليات الأم طبيعية تماماً لبرامج مكافحة الفيروسات.

تشفير متعدد الطبقات وتكيف مع بيئة الهدف

يعتمد ملف DLL الخبيث على طبقات متعددة من التشفير باستخدام عمليات XOR مع مفاتيح مثل 0xFA و0x29، لإخفاء طبيعته الحقيقية ومنع التحليل السريع.

ووفقاً لقدرات النظام المستهدف، يختار البرنامج الخبيث بين فك تشفير تقليدي على مستوى البايت أو استخدام تقنيات SSE عالية السرعة لمعالجة 16 بايتاً في آن واحد.

ويعزز هذا السلوك التكيفي سرعة التنفيذ، مع الحفاظ على مستوى عال من التخفي أمام أنظمة الرصد المعتمدة على مطابقة الأنماط.

نشر RoKRAT وبنية تحكم مستمرة

في المرحلة النهائية، تنشر الحملة أداة RoKRAT، وهي أداة متقدمة لسرقة البيانات. وتبدأ سلسلة الإصابة بتنفيذ كائنات OLE داخل ملفات HWP، يليها نشر ملفات تنفيذية وملفات DLL خبيثة داخل مجلدات مؤقتة.

وتمر الحمولة بعدة مراحل فك تشفير باستخدام XOR، قبل أن تعمل في شكل shellcode نهائي.

وكشفت التحليلات الجنائية أن الفاعلين حافظوا على بنية تحكم وسيطرة عبر خدمات Yandex Cloud في روسيا، مع وجود رموز حسابات تعود تواريخ تسجيلها إلى الفترة بين أكتوبر 2023 وفبراير 2025، ما يشير إلى قدرة تشغيلية مستمرة وطويلة الأمد.

الرصد والدروس المستفادة

تشير نتائج التحقيق إلى أن اكتشاف هذا النوع من الحملات يتطلب الاعتماد على الرصد السلوكي، بدلاً من الاكتفاء بالفحص التقليدي للملفات.

وينبغي على فرق الأمن مراقبة تحميل DLL غير اعتيادي من مجلدات مؤقتة، ورصد عمليات فرعية مشبوهة تنطلق من ملفات تنفيذية شرعية، إضافة إلى تتبع الاتصالات الخارجية مع بنى سحابية عقب فتح المستندات مباشرة.

وتؤكد هذه الحملة أن الفاعلين يواصلون تطوير أساليبهم لاستغلال الثقة البشرية والفجوات التقنية في آن واحد، ضمن نماذج هجوم أكثر إقناعاً وأشد تعقيداً.