استهداف كيمسكي لمستخدمي أندرويد في كوريا الجنوبية عبر كاكاو توك

Khaled AlZahraniمنذ 4 أسابيع

3 دقائق

Kimsuky APT Takes Over South Korean Androids, Abuses KakaoTalk

تستهدف مجموعة كيمسكي، إحدى مجموعات التهديد المستمر المتقدمة في كوريا الشمالية، مستخدمي نظام أندرويد في كوريا الجنوبية بهجمات سيبرانية معقدة. نستعرض في هذا المقال تفاصيل هذه الهجمات وأساليب الحماية الممكنة.

تستهدف إحدى مجموعات التهديد المستمر المتقدمة (APT) القوية في كوريا الشمالية مستخدمي نظام أندرويد في كوريا الجنوبية من خلال هجوم إعادة تعيين عن بُعد يستغل ميزة في جوجل تهدف إلى مساعدة المستخدمين في العثور على أجهزتهم.

اكتشف الباحثون في شركة جينيانز للأمن السيبراني في كوريا الجنوبية الهجوم، الذي يستخدم الهندسة الاجتماعية لتوزيع أحصنة طروادة للوصول عن بُعد (RATs) وبرامج ضارة أخرى عبر كاكاو توك، وهو تطبيق مراسلة كوري جنوبي. وقد نسبوا الحملة إلى مجموعة كونني APT، المعروفة أيضًا باسم APT37 وTA406 وثاليوم، والتي يُعتقد أنها تعمل تحت مظلة المجموعة المدعومة من الدولة كيمسكي.

“الحملة التي تم تحديدها مؤخرًا من قبل كونني ملحوظة بشكل خاص لحالات تم فيها إعادة تعيين الهواتف الذكية والأجهزة اللوحية المعتمدة على نظام أندرويد في كوريا الجنوبية عن بُعد، مما أدى إلى حذف غير مصرح به للبيانات الشخصية المخزنة على الأجهزة،” وفقًا لمنشور مدونة جينيانز.

استغل الهجوم خدمة Find Hub، وهي خدمة من جوجل تهدف، بشكل ساخر، إلى حماية الأجهزة المفقودة أو المسروقة. في هذه الحالة، ومع ذلك، تستخدم كونني الخدمة لأغراض تتبع الموقع وإعادة مسح الأجهزة عن بُعد بمجرد الحصول على السيطرة على أجهزة أندرويد من خلال اختراق حسابات جوجل، وفقًا للمنشور.

هذه هي المرة الأولى التي يتم فيها “اختراق حسابات Find Hub من قبل APT كوري شمالي واستغلال وظائف الإدارة الشرعية لإعادة تعيين الأجهزة المحمولة عن بُعد،” وفقًا لجينيانز. استخدم سلسلة الهجمات أيضًا جلسات كاكاو توك الخاصة بالضحايا لتوزيع ملفات ضارة على جهات الاتصال المقربة، مستغلة الألفة لإضفاء الشرعية على نواياها السيئة.

استهداف مستخدمي أندرويد: هجوم سيبراني معقد ومتعدد المراحل

يتكون الهجوم من مرحلتين رئيسيتين: هجوم تصيد مستهدف بدأ في يوليو من العام الماضي بهدف اختراق أجهزة معينة، وهجوم ثانوي ينشر البرامج الضارة عبر كاكاو توك باستخدام تلك الأجهزة المخترقة.

في حملة التصيد المستهدف، استهدف المهاجمون أجهزة أندرويد من خلال انتحال صفة منظمات مثل خدمة الضرائب الوطنية في كوريا الجنوبية. بمجرد الدخول، قاموا بإجراء استطلاع داخلي وجمع المعلومات لفترة طويلة.

من بين الضحايا كان هناك مستشار نفسي محترف يدعم الفارين من كوريا الشمالية خلال إعادة التوطين، حيث يقدم خدمات مثل التوجيه المهني، والاستشارات التعليمية، والتوجيه. استخدم المهاجمون لاحقًا هذا الحساب المخترق، من بين آخرين، لنشر ملفات ضارة عبر كاكاو توك.

كما حصل المهاجمون على وصول غير مصرح به إلى جهاز الكمبيوتر الخاص بالضحية وسرقوا كمية كبيرة من المعلومات الشخصية القابلة للتعريف (PII) والبيانات الحساسة والمحتوى الخاص الذي تم التقاطه عبر الكاميرا، وفقًا لجينيانز.

داخل اختراق المستشار النفسي

استهدف المهاجمون بشكل محدد حساب كاكاو توك الخاص بالمستشار النفسي في 5 سبتمبر. بمجرد اختراق الحساب، استخدم المهاجمون استعلام الموقع من Find Hub، ثم نفذوا أمر إعادة تعيين عن بُعد على كل من هاتف أندرويد وجهاز لوحي.

“أوقف إعادة التعيين عن بُعد تشغيل الجهاز بشكل طبيعي، مما منع إشعارات الرسائل والتنبيهات من تطبيقات المراسلة، وقطع فعليًا قناة الوعي الخاصة بمالك الحساب، مما أدى إلى تأخير الكشف والاستجابة،” وفقًا لجينيانز.

ثم أرسل المهاجمون ملفًا ضارًا متخفيًا كبرنامج “تخفيف الضغط” إلى أحد طلاب الفارين من كوريا الشمالية. “أدى تنفيذ الملف إلى إصابة عدة أجهزة” التي تطلبت تصحيحًا، وفقًا لجينيانز.

كانت الملفات الموزعة عبارة عن نصوص وأجزاء ضارة تسمح بالوصول عن بُعد وتسجيل ضغطات المفاتيح، بالإضافة إلى مجموعة متنوعة من RATs، بما في ذلك LilithRAT وRemcosRAT. ثم، بعد 10 أيام في 15 سبتمبر، تم استخدام حساب كاكاو توك لضحايا آخرين لتوزيع ملفات ضارة مماثلة بشكل جماعي، في موجة متزامنة.

“تظهر هذه النتائج أن المهاجمين استهدفوا عمدًا الخدمات المبنية على الثقة الاجتماعية لتعزيز تأثيرهم، مما يعكس تكتيكات أكثر تقدمًا وطرقًا متزايدة التعقيد للاختباء،” وفقًا للمنشور.

التخفيف من هجمات التجسس السيبراني

تقوم كيمسكي ومجموعاتها المختلفة بتحديث تكتيكاتها باستمرار لتحقيق المزيد من النجاح في أهدافها السيبرانية والمالية لدعم النظام الكوري الشمالي. أصبحت الهجمات متعددة المراحل التي تستغل العلاقات الموثوقة مثل تلك التي نفذتها كونني هنا أكثر شيوعًا، مما يتطلب اهتمام المدافعين، وفقًا للباحثين.

يمكن للمنظمات حماية نفسها من خلال الاستفادة من التحليل الجنائي المتاح وذكاء التهديد، مما يساعد على تحديد السبب الجذري لهذه الهجمات ويساعدها على منع تكرارها بين موظفيها أو شبكاتها، وفقًا لجينيانز. لهذا الغرض، قدم الباحثون قائمة بمؤشرات الاختراق (IoCs) لهجمات كونني للمساعدة في تحديد التسلل المحتمل، بما في ذلك عناوين النطاق وIP المرتبطة بالحملة.

كما يوصي الباحثون بشدة بتعزيز الكشف القائم على السلوك في الوقت الحقيقي، والمراقبة المرتبطة بمؤشرات الاختراق من خلال الكشف والاستجابة على مستوى النقاط النهائية (EDR).

تتطلب الهجمات السيبرانية المتقدمة مثل تلك التي نفذتها مجموعة كيمسكي وعيًا متزايدًا واستراتيجيات فعالة للحماية. يجب على المنظمات والأفراد اتخاذ تدابير وقائية لحماية بياناتهم ومعلوماتهم الشخصية.

الوسوم