أعلن فريق الأبحاث والتحليلات العالمي (GReAT) التابع لكاسبرسكي لـ الأمن السيبراني عن حملة هجومية جديدة تتسم بالتعقيد، تنفذها مجموعة «لازاروس». وتجمع هذه الحملة بين استغلال ثغرات أمنية في برمجيات خارجية وتطبيق تقنية «هجوم حفرة الري» لاستهداف مؤسسات متعددة في كوريا الجنوبية. وقد اكتشف الباحثون ثغرة “يوم الصفر” في برنامج Innorix Agent، الذي يعد من البرمجيات الشائعة الاستخدام، وتمت معالجتها على الفور. تم الإعلان عن هذه النتائج خلال فعاليات معرض «جيتكس آسيا»، مما يبرز كيفية استغلال مجموعة «لازاروس» لإلمامها العميق بالنظام البرمجي الكوري لتنفيذ هجمات متعددة المراحل.
يشير التقرير الصادر عن فريق GReAT إلى استهداف المهاجمين لست مؤسسات تعمل في قطاعات حيوية مثل البرمجيات، وتكنولوجيا المعلومات، والخدمات المالية، وأشباه الموصلات، والاتصالات. ويُحتمل أن يكون العدد الفعلي للضحايا أعلى بكثير، وقد أطلق الباحثون على هذه الحملة اسم «Operation SyncHole».
تُعتبر مجموعة «لازاروس» واحدة من أبرز الجهات الفاعلة في مجال التهديدات السيبرانية، حيث بدأت أنشطتها منذ عام 2009 وتمتلك موارد واسعة. وقد لاحظ الخبراء خلال الحملة الأخيرة استغلالها لثغرة في برنامج Innorix Agent، الذي يُستخدم لنقل الملفات بشكل آمن في الأنظمة الإدارية والمالية. سمح هذا الاستغلال للمهاجمين بالتنقل داخل الشبكة وتثبيت برمجيات خبيثة إضافية في الأنظمة المستهدفة. وأدى ذلك إلى نشر برمجيات «لازاروس» المعروفة، مثل ThreatNeedle وLPEClient، مما زاد من نطاق تأثيرها وسيطرتها داخل الشبكات الداخلية. وقد تم تنفيذ الاستغلال كجزء من سلسلة أوسع من الهجمات، حيث تم استخدام أداة Agamemnon الخبيثة التي استهدفت إصداراً ضعيف الحماية من Innorix (9.2.18.496).
عند تحليل سلوك البرمجية الخبيثة، اكتشف خبراء GReAT ثغرة أخرى تسمح بتنزيل ملفات عشوائية، وتمكنوا من التعرف عليها قبل استخدامها من قبل المهاجمين. قامت كاسبرسكي بإبلاغ وكالة الإنترنت والأمن الكورية (KrCERT) والشركة المُصنِّعة بالثغرات المكتشفة، وسرعان ما أصدرت تحديثات لمعالجة المشكلة الأمنية المحددة بالرمز التعريفي KVE-2025-0014.
علق سوجون ريو، الباحث الأمني في GReAT: “النهج الاستباقي أمر حيوي في الأمن السيبراني. من خلال تحليلنا العميق للبرمجيات الخبيثة، اكتشفنا ثغرة غير معروفة سابقاً قبل أن تُستغل، مما يعد أمراً ضرورياً لمنع اختراق الأنظمة على نطاق واسع”.
قبل هذا الاكتشاف، كان قد تم الإشارة إلى استخدام نسخ من برمجتي ThreatNeedle وSIGNBT لشن هجمات لاحقة على كوريا الجنوبية. حيث كانت البرمجية تعمل في الخفاء ضمن ذاكرة عملية شرعية تُدعى SyncHost.exe، التي تم إنشاؤها كعملية فرعية لبرنامج Cross EX، وهو برنامج كوري جنوبي يُعزز استخدام أدوات الأمان عبر المتصفحات.
أظهر التحليل التفصيلي للحملة أن نفس أسلوب الهجوم كان مميزاً في خمس مؤسسات أخرى بكوريا الجنوبية، حيث يبدو أن جميع حالات الإصابة بدأت من ثغرة أمنية محتملة في برنامج Cross EX، مما يجعله نقطة انطلاق الحملة. وقد نشر KrCERT تحذيراً أمنياً حديثاً يؤكد وجود ثغرة في Cross EX، وقد تم معالجتها لاحقاً خلال فترة البحث.
قال إيغور كوزنتسوف، مدير فريق GReAT: “تشير هذه النتائج إلى مشكلة أمنية أوسع؛ فالإضافات من الطرف الثالث والمتصفحات القديمة تزيد من مساحة الهجمات، خاصة في البيئات المعتمدة على برامج خاصة أو قديمة. هذه المكونات غالباً ما تعمل بامتيازات محسنة، مما يجعلها أهدافاً جذابة وسهلة الاختراق”.
كيف انطلقت هجمات SyncHole؟
استفادت مجموعة «لازاروس» من مواقع إلكترونية إعلامية مخترقة يرتادها عدد كبير من المستخدمين، واستخدمت هذه المواقع كطعم لتحقيق أهدافها، وهو ما يُعرف بهجمات “حفرة الري”.
قام المهاجمون بتصفية حركة البيانات الواردة لتحديد الأفراد المستهدفين، ثم أعادوا توجيههم إلى مواقع إلكترونية تحت سيطرتهم، مما أطلق سلسلة من الإجراءات التقنية. توضح هذه الطريقة الاستراتيجية مدى تعقيد عمليات مجموعة «لازاروس».
