الأمن السيبراني
#APT37
#أمن_سيبراني
تحذير: APT37 تخترق الشبكات المعزولة بحملة Ruby Jumper
كشفت أبحاث [[Zscaler]] عن حملة اختراق متطورة تشنها مجموعة القراصنة [[APT37]] الكورية الشمالية، المعروفة أيضاً باسم ScarCruft. تستهدف هذه الحملة، التي أُطلق عليها اسم "Ruby Jumper"، الشبكات المعزولة (air-gapped networks) باستخدام مجموعة أدوات برمجية خبيثة جديدة لنقل البيانات بين الأنظمة المتصلة بالإنترنت وتلك المعزولة، وتنفيذ عمليات مراقبة سرية.
ما هي حملة Ruby Jumper؟
تُعرف مجموعة APT37، المدعومة من الدولة الكورية الشمالية، بأسماء متعددة مثل Ricochet Chollima و InkySquid. تركز هذه المجموعة على استهداف الأنظمة المعزولة، وهي أجهزة كمبيوتر مفصولة تماماً عن الشبكات الخارجية والإنترنت لضمان أقصى درجات الأمان. يتم تحقيق هذا العزل عبر فصل مادي للمكونات (مثل Wi-Fi، بلوتوث، إيثرنت) أو منطقي عبر جدران الحماية وشبكات VLAN.
في البيئات المعزولة، الشائعة في البنى التحتية الحيوية والقطاعات العسكرية والبحثية، يتم نقل البيانات عادةً عبر وسائط تخزين قابلة للإزالة. تستغل حملة Ruby Jumper هذه النقطة تحديداً لتحويل محركات أقراص USB إلى جسور لنقل البيانات والأوامر، متجاوزة بذلك الحواجز الأمنية التقليدية.
كيف تعمل عملية الاختراق؟
تبدأ سلسلة الإصابة بفتح الضحية لملف اختصار Windows خبيث (LNK)، والذي يقوم بنشر برنامج PowerShell نصي. يستخرج هذا البرنامج حمولات مضمنة في ملف LNK، ويطلق في الوقت نفسه مستنداً مخادعاً لتحويل الانتباه. لاحظ الباحثون أن المستند المخادع هو ترجمة عربية لمقال صحفي كوري شمالي حول الصراع الفلسطيني الإسرائيلي، مما قد يشير إلى طبيعة استهداف الضحايا.
بعد ذلك، يقوم برنامج PowerShell النصي بتحميل المكون الأول للبرمجية الخبيثة، والذي يُدعى RESTLEAF. يعمل هذا المكون كزرع يتصل بالبنية التحتية للقيادة والتحكم (C2) الخاصة بـ APT37 باستخدام Zoho WorkDrive. يقوم RESTLEAF بجلب shellcode مشفر من C2 لتنزيل حمولة المرحلة التالية، وهي أداة تحميل قائمة على Ruby تُسمى SNAKEDROPPER.
الأدوات الخبيثة المستخدمة في حملة Ruby Jumper
قام باحثو شركة [[Zscaler]] المتخصصة في الأمن السحابي بتحليل البرمجيات الخبيثة المستخدمة في حملة [[Ruby]] وحددوا مجموعة أدوات تتألف من خمسة برمجيات خبيثة رئيسية، بالإضافة إلى برمجيات أخرى:
- RESTLEAF: زرع أولي يتواصل مع خوادم القيادة والتحكم (C2) لـ APT37 عبر Zoho WorkDrive، ويقوم بتنزيل حمولات إضافية.
- SNAKEDROPPER: أداة تحميل قائمة على Ruby، يتم تثبيتها بعد RESTLEAF. تقوم بتثبيت بيئة تشغيل Ruby 3.3.0 المتنكرة كأداة شرعية متعلقة بـ USB تسمى usbspeed.exe.
- THUMBSBD: باب خلفي يتم تنزيله كملف Ruby. وظيفته جمع معلومات النظام، وتحضير ملفات الأوامر، وإعداد البيانات للتسريب. الأهم من ذلك، يقوم بإنشاء أدلة مخفية على محركات أقراص USB المكتشفة ونسخ الملفات إليها، محولاً إياها إلى "مرحل C2 خفي ثنائي الاتجاه". كما يوضح الرسم التوضيحي لتدفق تنفيذ ThumbSBD، يمكن للمهاجمين من خلاله إيصال الأوامر للأنظمة المعزولة واستخراج البيانات منها.
- VIRUSTASK: برمجية خبيثة تنتشر إلى أجهزة معزولة جديدة عن طريق تسليح محركات الأقراص القابلة للإزالة. تخفي الملفات الشرعية وتستبدلها باختصارات خبيثة تنفذ مفسر Ruby المضمن عند الفتح، مع شرط وجود 2 جيجابايت على الأقل من المساحة الحرة.
- FOOTWINE: برمجية تجسس (spyware) لنظام Windows، متنكرة كملف حزمة Android (APK). تدعم هذه الأداة تسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، وتسجيل الصوت والفيديو، والتلاعب بالملفات، والوصول إلى سجل النظام، وتنفيذ أوامر shell عن بُعد.
- BLUELIGHT: باب خلفي كامل الوظائف تم ربطه سابقاً بمجموعة التهديد الكورية الشمالية APT37، وقد لوحظ وجوده أيضاً في حملة Ruby Jumper.
الاستهداف وتأكيد الهوية
تثق شركة Zscaler بدرجة عالية في إسناد حملة Ruby Jumper إلى [[APT37]] بناءً على عدة مؤشرات. تشمل هذه المؤشرات استخدام برمجية BLUELIGHT الخبيثة، والاعتماد على ملفات LNK كنقطة دخول أولية، وتقنية تسليم shellcode ذات المرحلتين، والبنية التحتية للقيادة والتحكم (C2) التي عادةً ما تُرصد في هجمات هذه المجموعة.
كما أشار الباحثون إلى أن المستند المخادع (الترجمة العربية لمقال كوري شمالي حول الصراع الفلسطيني الإسرائيلي) يشير إلى أن هدف نشاط Ruby Jumper يهتم بالسرديات الإعلامية الكورية الشمالية، وهو ما يتوافق مع ملف تعريف الضحايا لهذه المجموعة التهديدية.
الأسئلة الشائعة
هي حملة اختراق متطورة تشنها مجموعة القراصنة الكورية الشمالية APT37 (ScarCruft) لاستهداف الشبكات المعزولة باستخدام مجموعة أدوات برمجية خبيثة جديدة، بهدف نقل البيانات وتنفيذ المراقبة السرية.
تعتمد الحملة على استغلال محركات الأقراص القابلة للإزالة (USB) لنقل البرمجيات الخبيثة والأوامر بين الأنظمة المتصلة وغير المتصلة، متجاوزة بذلك العزل المادي للشبكات.
تشمل الأدوات الرئيسية RESTLEAF للاتصال بخوادم C2، وSNAKEDROPPER كأداة تحميل، وTHUMBSBD لجمع البيانات والتسريب، وVIRUSTASK لنشر الإصابة، بالإضافة إلى FOOTWINE للتجسس وBLUELIGHT كباب خلفي.
يُعد THUMBSBD باباً خلفياً يجمع معلومات النظام ويُعِد البيانات للتسريب، ويحول محركات أقراص USB إلى "مرحل C2 خفي ثنائي الاتجاه" لنقل الأوامر واستخراج البيانات من الأنظمة المعزولة.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!