تستغل جهات كورية شمالية ميزة مشروعة في مايكروسوفت فيجوال ستوديو (VS) كود للحصول على السيطرة الكاملة عن بُعد على الأنظمة المستهدفة.
تستغل حملة تصيد احتيالي من قبل جهات كورية شمالية ميزة مشروعة في مايكروسوفت فيجوال ستوديو (VS) كود للحصول على السيطرة الكاملة عن بُعد على الأنظمة المستهدفة.
في الحملة، التي اكتشفها باحثون في Darktrace، تتلقى الأهداف الكورية الجنوبية رسائل بريد إلكتروني مزيفة تتعلق بالحكومة تحتوي على مستندات رسمية مزيفة، وفقًا لتقرير نُشر اليوم. المستندات هي ملفات JSE متخفية كملفات معالج الكلمات هانغول (HWPX) التي، بمجرد فتحها، تقوم بهدوء بتثبيت مايكروسوفت فيجوال ستوديو كود وتستغل ميزة الأنفاق المدمجة لتمنح المهاجمين السيطرة الكاملة عن بُعد على جهاز الضحية.
تُزيل هذه الطريقة الهجومية فعليًا الحاجة إلى إعداد المهاجمين للبنية التحتية للتحكم أو استخدام البرمجيات الخبيثة في سلسلة الهجوم الخاصة بهم، مما يمنحهم اختصارًا للهجوم يتماشى مع الأنشطة النموذجية للمطورين. تقول Darktrace إن النشاط – الذي يستخدم تقريبًا تقنيات العيش على الأرض (LotL) – يبدو أنه المرة الأولى التي تستخدم فيها الجهات المرتبطة بجمهورية كوريا الديمقراطية الشعبية (DPRK) هذه التكتيك المحدد، على الرغم من أن آخرين قد استخدموا VS Code بطرق خبيثة.
“تظهر هذه النشاطات كيف يمكن لممثلي التهديدات استخدام برامج مشروعة بدلاً من البرمجيات الخبيثة المخصصة للحفاظ على الوصول إلى الأنظمة المخترقة،” كتبت تارا غولد، رئيسة أبحاث البرمجيات الخبيثة في Darktrace، في منشور المدونة. “باستخدام أنفاق VS Code، يتمكن المهاجمون من التواصل من خلال بنية تحتية موثوقة من مايكروسوفت بدلاً من خوادم C2 المخصصة.”
سوء استخدام تاريخي لـ VS Code
ليست هذه الحملة هي الأولى التي يستغل فيها المهاجمون من كوريا الشمالية VS Code في الهجمات. في الواقع، فقط هذا الأسبوع، كشف باحثون في Jamf أن الجهات الفاعلة وراء حملة “المقابلة المعدية” الكورية الشمالية تستخدم VS Code لتوصيل باب خلفي غير مرئي سابقًا يمكّن من تنفيذ التعليمات البرمجية عن بُعد (RCE) على أنظمة المطورين دون أي تفاعل من المستخدم.
علاوة على ذلك، تم التعرف على سوء استخدام أنفاق VS Code لأول مرة في عام 2023، وقد استخدمته مجموعات التهديد المستمر المتقدم (APT) الصينية التي تستهدف البنية التحتية الرقمية والكيانات الحكومية في جنوب شرق آسيا.
بالفعل، يعد سوء استخدام VS Code عنصرًا رئيسيًا في هذه الحملة الخاصة بـ DPRK، والتي تبدأ عندما تتلقى الأهداف رسائل بريد إلكتروني تحتوي على مغريات تتعلق باختيار الطلاب لبرنامج دراسات عليا من ما يبدو أنه وزارة إدارة الأفراد، وهي وكالة حكومية كورية جنوبية مسؤولة عن إدارة الخدمة المدنية. “استنادًا إلى البيانات الوصفية داخل المستندات، يبدو أن الجهات الفاعلة قد أخذت المستندات من موقع الحكومة وقامت بتحريرها لتبدو مشروعة،” كتبت غولد.
إنشاء وصول عن بُعد باستخدام VS Code
إذا تم فتح أحد الملفات الضارة، فإنه ينفذ سلسلة من التنزيلات التي تؤدي إلى إنشاء نفق VS Code يسمى “bizeugene” يسمح للمهاجمين بالاتصال بجهاز كمبيوتر بعيد واستخدام VS Code.
“يعمل الكمبيوتر البعيد كخادم VS Code ينشئ اتصالًا مشفرًا بخدمة النفق من مايكروسوفت،” كتبت غولد. “يمكن للمستخدم بعد ذلك الاتصال بذلك الجهاز من جهاز آخر باستخدام تطبيق VS Code أو متصفح الويب بعد تسجيل الدخول باستخدام GitHub أو مايكروسوفت.”
بمجرد أن يوافق المهاجم على النفق من حسابه على GitHub، يتم الاتصال بالنظام المخترق عبر VS Code، مما يمنح المهاجم وصولًا تفاعليًا إلى وحدة تحكم VS Code ومتصفح الملفات. وهذا يسمح لهم باسترجاع الحمولات، واستخراج البيانات، وإجراء أنشطة خبيثة أخرى.
تحتاج إلى نهج جديد للكشف
لن تكون تقنيات LotL المستخدمة في الحملة سهلة عادةً للكشف عنها من قبل المدافعين، حيث تمتزج مع الأنظمة والعمليات المشروعة المستخدمة في بيئة مايكروسوفت النموذجية، قالت غولد. “تجعل استخدام التطبيقات الموثوقة على نطاق واسع الكشف أكثر صعوبة، خاصة في البيئات التي يتم فيها تثبيت أدوات المطورين بشكل شائع،” كتبت.
هذا يعني أن المدافعين بحاجة إلى أن يكونوا منتبهين بشكل خاص للكشف عن النشاط المشبوه، متجاوزين الاعتماد على أدوات الأمان التقليدية التي تركز على حظر البرمجيات الخبيثة المعروفة، “حيث أن الأدوات نفسها ليست خبيثة بطبيعتها وغالبًا ما تكون موقعة من قبل بائعين شرعيين،” كتبت غولد.
أوصى الخبراء بأن تقوم المنظمات بتطبيق مبدأ أقل الامتيازات على الأدوات في بيئاتها الخاصة، بالإضافة إلى استخدام ضوابط وصول قوية ومراقبة تحليلات سلوك الامتياز، لمساعدة فرق الأمان على تحليل حركة مرور الشبكة وطلبات الوصول كوسيلة للدفاع ضد تقنيات LotL المتقدمة.
لمساعدة المنظمات في الدفاع ضد حملة التصيد الاحتيالي الخاصة بـ DPRK، أدرجت غولد مؤشرات الاختراق (IoCs) في منشور المدونة، بما في ذلك عنوان IP رئيسي مرتبط بالجهة الفاعلة للتهديد، وتقنيات هجوم MITRE الأخرى.
لمساعدة المنظمات في الدفاع ضد حملة التصيد الاحتيالي الخاصة بـ DPRK، أدرجت غولد مؤشرات الاختراق (IoCs) في منشور المدونة.
