كشف باحثون من شركة ESET للأمن السيبراني عن اختراق مجموعة Lazarus الكورية الشمالية 3 شركات أوروبية عاملة في قطاع الدفاع، وذلك ضمن حملة Operation DreamJob التي تعتمد على أساليب توظيف مزيفة لاختراق الأنظمة المستهدفة. رصد الباحثون أنشطة المجموعة في أواخر مارس، واستهدفت تحديداً شركات مشاركة في تطوير تكنولوجيا الطائرات بدون طيار UAV.
تقوم حملة DreamJob على انتحال هوية مجندين من شركات عالمية حقيقية أو وهمية، يتواصلون مع موظفين في شركات حساسة بعروض عمل مغرية، ويطلبون منهم تنزيل ملفات تطبيقية تحتوي على برمجيات خبيثة. سبق استخدام هذه الطريقة ضد شركات العملات الرقمية، ومطوري البرمجيات، والصحافيين، والباحثين الأمنيين، ومؤسسات في الصناعات الدفاعية والفضائية.
استهداف الشركات المصنّعة لمكونات الطائرات المسيّرة
أوضحت ESET أن الهجوم الأخير استهدف بالتتابع 3 شركات أوروبية: شركة هندسة معدنية في جنوب شرقي أوروبا، ومصنعاً لقطع الطائرات، وشركة دفاعية في أوروبا الوسطى. ولم تكشف الشركة عن مدى نجاح المهاجمين، لكنها أكدت أن اثنتين من الشركات المستهدفة تعملان مباشرة في تطوير أنظمة الطائرات بدون طيار، إحداهما تصنع مكونات أساسية والأخرى تصمم برمجيات مرتبطة بتلك الأنظمة.
وأشارت التقارير إلى استخدام المعدات التي أنتجتها هذه الشركات حالياً في دعم أوكرانيا ضمن برامج المساعدات العسكرية الأوروبية، ما يضفي على الحادثة أبعاداً جيوسياسية واضحة تتماشى مع محاولات بيونغ يانغ تسريع تطوير أسطولها من الطائرات المسيّرة المستوحاة من النماذج الغربية.
سلسلة العدوى وأدوات الاختراق
أظهرت تحليلات ESET أن الهجوم يبدأ عند تشغيل المستخدم لتطبيق مفتوح المصدر تم التلاعب به، مثل MuPDF Viewer أو Notepad++ أو TightVNC Viewer أو أحد المكونات الإضافية لـ WinMerge أو مكتبة libpcre أو حزم DirectX. ويتم تحميل ملف DLL خبيث عبر تقنية DLL Sideloading التي تستغل برامج شرعية لتحميل التعليمات البرمجية الضارة.
في المرحلة التالية، يجري فك تشفير الحمولة الخبيثة وتحمل في الذاكرة مباشرة باستخدام أسلوب MemoryModule، ليتم تشغيل برمجية التجسس ScoringMathTea RAT، وهي أداة وصول عن بُعد تتيح للمهاجمين تنفيذ أوامر متعددة، وتحميل ملفات جديدة، وجمع معلومات النظام، وإنشاء اتصال مع خادم القيادة والتحكم.
كما رصد الباحثون سلسلة إصابة بديلة تستخدم أداة تحميل تدعى BinMergeLoader (MISTPEN) تستغل Microsoft Graph API للحصول على حمولة إضافية، ما يمنح المهاجمين قدرة على تجاوز آليات الحماية التقليدية.
استمرار فاعلية حملة DreamJob
أكدت ESET أن برمجية ScoringMathTea RAT الموثقة لأول مرة عام 2023 أصبحت تدعم أكثر من 40 أمراً تنفيذياً تمنح المهاجمين مرونة واسعة في التحكم بالأنظمة المستهدفة. ورغم كثرة التقارير الأمنية التي كشفت سابقاً عن تكتيكات DreamJob وأساليبها الاجتماعية، إلا أنها ما زالت تحقق نجاحاً لافتاً بفضل قدرتها على استغلال الثقة المهنية والتفاعل البشري.
وقد أصدرت ESET مجموعة من مؤشرات الاختراق IoCs تتضمن النطاقات والأدوات الخبيثة المستخدمة في هذه الحملة، لمساعدة المؤسسات الدفاعية الأوروبية على كشف أي نشاط مشابه في بيئاتها الرقمية.
