هجمات سيبرانية تقودها مجموعة «لازاروس» تستهدف سلاسل التوريد في كوريا الجنوبية
كشف فريق الأبحاث والتحليلات العالمي (GReAT) لدى كاسبرسكي عن حملة جديدة ومتطورة تشنها مجموعة «لازاروس»، تجمع الحملة بين استخدام «هجوم حفرة الري» واستغلال ثغرات أمنية في برمجيات من طرف ثالث لاستهداف مؤسسات في كوريا الجنوبية. واكتشف الخبراء خلال البحث «ثغرة يوم الصفر» في برنامج Innorix Agent الكوري المستخدم على نطاق واسع، وسرعان ما عولجت على الفور. وجاء الإعلان عن هذه النتائج خلال معرض «جيتكس آسيا»، وهي توضح أنّ مجموعة «لازاروس» تستغل إلمامها العميق بمنظومة البرمجيات في كوريا الجنوبية لتنفيذ هجمات سيبرانية متعددة المراحل.
يشير التقرير الجديد الصادر عن فريق الأبحاث والتحليلات العالمي (GReAT) لدى كاسبرسكي إلى استهداف المهاجمين لست مؤسسات في قطاعات حيوية متنوعة في كوريا الجنوبية هي: البرمجيات، وتكنولوجيا المعلومات، والخدمات المالية، وأشباه الموصلات، والاتصالات. وربما يكون العدد الحقيقي للضحايا أعلى بكثير، وقد أطلق باحثو كاسبرسكي على هذه الحملة اسم الثغرة المتزامنة «Operation SyncHole».
تمارس مجموعة «لازاروس» أنشطتها منذ عام 2009 تقريباً، فهي تعد من أبرز جهات التهديدات السيبرانية المعروفة بامتلاكها موارد واسعة. وقد لاحظ الخبراء خلال الحملة الأخيرة أنّها استغلت ثغرة في برنامج Innorix Agent، وهو أداة خارجية مدمجة في المتصفح ومستخدمة للنقل الآمن للملفات في الأنظمة الإدارية والمالية. وأتاح استغلال هذه الثغرة للمهاجمين أن ينتقلوا ضمن الشبكة، وينجحوا في تثبيت برمجيات خبيثة إضافية في المضيف المُستهدف. وأفضى ذلك في نهاية المطاف إلى نشر برمجيات لازاروس الخبيثة والشهيرة، مثل ThreatNeedle وLPEClient، فتوسع نطاق انتشارهم وسيطرتهم داخل الشبكات الداخلية. وجاءت عملية الاستغلال ضمن سلسلة أوسع من الهجمات؛ إذ نفذها المهاجمون عبر تنزيل أداة Agamemnon الخبيثة، التي استهدفت إصداراً ضعيف الحماية من Innorix (9.2.18.496).
عندما بدأ خبراء GReAT لدى كاسبرسكي تحليل سلوك البرمجية الخبيثة، اكتشفوا كذلك «ثغرة اليوم صفر» التي تتيح تنزيل ملفات عشوائية، وقد نجح الخبراء في اكتشافها قبل أن يستخدمها المهاجمون في هجماتهم السيبرانية. وسارعت كاسبرسكي إلى إبلاغ وكالة الإنترنت والأمن الكورية (KrCERT) والشركة المُصنِّعة عن المشكلات الأمنية في Innorix Agent، وسرعان مع أطلقت إصدارات محدثة من البرنامج لمعالجة الثغرة الأمنية التي خُصصت بالرمز التعريفي: KVE-2025-0014.
يقول سوجون ريو، وهو باحث أمني في فريق GReAT لدى كاسبرسكي: «النهج الاستباقي أمر بالغ الأهمية في الأمن السيبراني، وبفضله اكتشف تحليلنا المعمق للبرمجيات الخبيثة ثغرة أمنية غير معروفة سابقاً، وقد كشفناها قبل ظهور أي بوادر على استغلالها. ولا ريب أنّ الاكتشاف المبكر لتهديدات كهذه ضروري للغاية للحيلولة دون اختراق الأنظمة على نطاق واسع».
قبل التوصل إلى النتائج الحديثة بشأن INNORIX، كشف خبراء كاسبرسكي عن استخدام نسخة من برمجيتي الباب الخلفي ThreatNeedle وSIGNBT لشن هجمات سيبرانية لاحقة على كوريا الجنوبية. وكانت البرمجية الخبيثة تعمل بخفاء داخل ذاكرة عملية شرعية باسم SyncHost.exe، وقد أنشئت كعملية فرعية لبرنامج Cross EX، وهو برنامج كوري جنوبي يدعم استخدام أدوات الأمان عبر المتصفحات المختلفة.
وأشار التحليل المفصل للحملة إلى تمييز وسيلة الهجوم نفسها في خمس مؤسسات أخرى في كوريا الجنوبية. ويبدو أنّ سلاسل الإصابة انطلقت في كل حالة من ثغرة أمنية محتملة في برنامج Cross EX، مما يجعلها منطلق الإصابة في العملية كلها. ويجدر الإشارة إلى التحذير الأمني الحديث الذي نشره KrCERT، والذي يؤكد وجود ثغرة أمنية في Cross EX، وقد عولجت بعد ذلك خلال الفترة الزمنية للبحث.
يقول إيغور كوزنتسوف، مدير فريق GReAT لدى كاسبرسكي: «تشير هذه النتائج جميعها إلى مشكلة أمنية أوسع نطاقاً؛ فالإضافات من الطرف الثالث للمتصفحات والأدوات المساعدة تزيد مساحة الهجمات، لا سيما في بيئات تعتمد برامج خاصة بمنطقة جغرافية معينة أو تعتمد برامج قديمة. فهذه المكونات تعمل غالباً بامتيازات محسنة، وتظل داخل الذاكرة، وتتفاعل بعمق مع عمليات المتصفح، وبذلك تكون أهدافاً جذابة وأسهل للاختراق من المتصفحات الحديثة نفسها».
كيف انطلقت هجمات SyncHole؟
استفادت مجموعة «لازاروس» من مواقع إلكترونية إعلامية مخترقة يزورها عدد كبير من المستخدمين، واستخدمتها طعماً لتحقيق غايتها، ويعرف هذا الأسلوب باسم «هجمات حفرة الري». وعمل المهاجمون على تصفية حركة البيانات الواردة لتحديد الأفراد المستهدفين، ومن ثم إعادة توجيههم بعناية إلى مواقع إلكترونية يتحكمون بها، وبذلك أطلقت مجموعةٌ من الإجراءات التقنية سلسلةَ الهجوم. وتوضح هذه الطريقة المتبعة الطابع الاستراتيجي الدقيق لعمليات مجموعة لازاروس.
مثال على صفحة معاد توجيهها استخدمت في الهجوم
يرجى مراجعة الموقع الإلكتروني: Securelist.com، لمعرفة معلومات إضافية عن مجموعة لازاروس.
كشفت منتجات كاسبرسكي عن البرمجيات الخبيثة والثغرات المستخدمة في هذا الهجوم، وهي إلى ذلك موضحة على النحو الآتي:
Trojan.Win64.Lazarus، وTrojan.Win32.Lazarus، و MEM:Trojan.Win32.Cometer.gen، و MEM:Trojan.Win32.SEPEH.gen، وTrojan.Win32.Manuscrypt، وTrojan.Win64.Manuscrypt، و Trojan.Win32.Zenpak.
للحماية من هجمات لازاروس وهجمات التهديدات المتقدمة المستمرة الأخرى (APT)، توصي كاسبرسكي بالكشف الدقيق، والاستجابة السريعة للأساليب المعروفة في الهجمات، والمعالجة الفورية للثغرات الأمنية. وتقدم الشركة نصائح إضافية هي:
• احرصوا دوماً على تحديث برامج الأجهزة المستخدمة كلها لمنع المهاجمين من استغلال الثغرات الأمنية لاختراق شبكاتكم.
• بادروا إلى إجراء تدقيق أمني سيبراني لشبكاتكم وأصولكم بغرض الكشف عن الثغرات والأنظمة المعرضة للخطر، ومعالجة مكامن الضعف المكتشفة في محيط الشبكة وداخلها.
• ننصحكم باستخدام حلول Kaspersky Next المتنوعة لحماية شركاتكم من تهديدات كثيرة، فهي توفر حماية فورية، وتقدم رؤية شاملة للتهديدات، وتوفر قدرات التحقق والاستجابة عبر برامج حماية النقاط الطرفية (EDR) والكشف والاستجابة الموسعة (XDR) للشركات بمختلف أحجامها وقطاعاتها.
• زودوا خبراء أمن المعلومات لديكم برؤية متعمقة للتهديدات السيبرانية التي تستهدف مؤسساتكم. فالإصدار الأحدث من Kaspersky Threat Intelligence يمنحهم سياقاً غنياً ومتكاملاً يغطي عملية إدارة الحوادث كلها، ويساعدهم في اكتشاف المخاطر والتهديدات السيبرانية في الوقت المناسب.
هاشتاغز
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
أموال الغد
منذ 5 أيام
- أموال الغد
«كاسبرسكي» تكشف عن أكثر قطاعات التكنولوجيا التشغيلية تعرضاً للهجمات في بداية 2025
كشف تقرير حديث من فريق كاسبرسكي للاستجابة لطوارئ الأمن السيبراني في أنظمة التحكم الصناعي أنه خلال الربع الأول من 2025، تم اعتراض هجمات خبيثة على 21.9% من أجهزة التحكم الصناعي حول العالم. وتباينت النسب حسب المناطق من 10.7% في شمال أوروبا إلى 29.6% في إفريقيا. وشهدت الفترة بين الربع الرابع من 2024 والربع الأول من 2025 ارتفاعاً في نسبة الأجهزة المستهدفة في روسيا (0.9 نقطة مئوية)، وآسيا الوسطى (0.7 نقطة مئوية)، وجنوب آسيا (0.3 نقطة مئوية)، وغرب أوروبا (0.2 نقطة مئوية)، وشمال وجنوب أوروبا (0.1 نقطة مئوية لكل منهما). التهديدات حسب القطاعات تصدر قطاع القياسات الحيوية قائمة القطاعات المستهدفة (بنسبة 28.1% من أجهزة التحكم الصناعي المحمية من البرمجيات الخبيثة)، تلاه قطاع أتمتة المباني (25%)، ثم منشآت الطاقة الكهربائية (22.8%)، ومواقع البناء (22.4%)، والمعدات الهندسية (21.7%)، ومنشآت النفط والغاز (17.8%)، وقطاع التصنيع (17.6%). أبرز مصادر التهديد في مطلع 2025، حافظ مشهد التهديدات السيبرانية للتكنولوجيا التشغيلية على تنوعه، مع استمرار الإنترنت كمصدر أساسي للمخاطر (حيث تم صد التهديدات عن 10.11% من أجهزة التحكم الصناعي)، يليه تطبيقات البريد الإلكتروني (2.81%) والوسائط القابلة للإزالة (0.52%). وصرّح يفغيني غونتشاروف، رئيس فريق كاسبرسكي للاستجابة لطوارئ أنظمة التحكم الصناعي: «مع استمرار الإنترنت كمصدر رئيسي للتهديدات على أجهزة التحكم الصناعي، شهد الربع الأول من 2025 ارتفاعاً في نسبة أجهزة التحكم الصناعي المستهدفة بالبرمجيات الخبيثة المنتشرة عبر الإنترنت للمرة الأولى منذ بداية 2023. وتتمثل الفئات الرئيسية للتهديدات من الإنترنت في المواقع المحظورة، والسكربتات الخبيثة، وصفحات التصيد الاحتيالي. وتعد السكربتات الخبيثة وصفحات التصيد الاحتيالي الفئة الرائدة من البرمجيات الخبيثة المستخدمة للإصابة الأولية لأجهزة التحكم الصناعي – حيث تعمل كناقلات للبرمجيات الخبيثة في المراحل التالية، مثل برامج التجسس وبرامج تعدين العملات المشفرة وبرمجيات الفدية. ويسلط الارتفاع في الهجمات عبر الإنترنت على أنظمة التحكم الصناعي الضوء على الحاجة الملحة لتقنيات كشف التهديدات المتقدمة لمواجهة حملات البرمجيات الخبيثة المتطورة.» لضمان حماية أجهزة التكنولوجيا التشغيلية من مختلف التهديدات، يوصي خبراء كاسبرسكي بـ: إجراء فحوصات أمنية دورية لأنظمة التكنولوجيا التشغيلية لرصد ومعالجة الثغرات الأمنية المحتملة. وضع آلية مستمرة لتقييم وتصنيف نقاط الضعف كأساس لإدارتها بفعالية. يمكن لحلول متخصصة مثل Kaspersky Industrial CyberSecurity أن تكون عوناً فعالاً ومصدراً لمعلومات فريدة وقابلة للتنفيذ، غير متوفرة بشكل كامل للعامة. تحديث المكونات الرئيسية لشبكة التكنولوجيا التشغيلية في المؤسسة دورياً؛ مع تطبيق الإصلاحات والتحديثات الأمنية أو اتخاذ إجراءات تعويضية بمجرد توفر الإمكانية التقنية، وذلك لمنع الحوادث الكبيرة التي قد تكلف الملايين نتيجة تعطل الإنتاج. توظيف حلول الكشف والاستجابة للتهديدات المتطورة مثل Kaspersky Next EDR Expert للكشف المبكر عن التهديدات المعقدة، وتحليلها، والتعامل معها بفعالية. رفع كفاءة التعامل مع الأساليب الخبيثة الحديثة والمتقدمة عبر تطوير وتعزيز مهارات الفِرق في منع واكتشاف ومعالجة الحوادث. ويشكّل التدريب المتخصص على أمن التكنولوجيا التشغيلية لفريقي أمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية إحدى الركائز الأساسية لتحقيق ذلك.
الدولة الاخبارية
منذ 5 أيام
- الدولة الاخبارية
كاسبرسكي تكش فعن أكثر قطاعات التكنولوجيا التشغيلية تعرضاً للهجمات في بداية 2025
الخميس، 15 مايو 2025 04:39 مـ بتوقيت القاهرة كشف تقرير حديث من فريق كاسبرسكي للاستجابة لطوارئ الأمن السيبراني في أنظمة التحكم الصناعي أنه خلال الربع الأولمن 2025، تم اعتراض هجمات خبيثة على 21.9% من أجهزة التحكم الصناعي حول العالم. وتباينت النسب حسب المناطق من 10.7% في شمال أوروبا إلى 29.6% في إفريقيا. وشهدت الفترة بين الربع الرابع من 2024 والربع الأول من 2025 ارتفاعاً في نسبة الأجهزة المستهدفة في روسيا (0.9 نقطة مئوية)، وآسيا الوسطى (0.7 نقطة مئوية)، وجنوب آسيا (0.3 نقطة مئوية)، وغرب أوروبا (0.2 نقطة مئوية)، وشمال وجنوب أوروبا (0.1 نقطة مئوية لكل منهما). تصدر قطاع القياسات الحيوية قائمة القطاعات المستهدفة (بنسبة 28.1% من أجهزة التحكم الصناعي المحمية من البرمجيات الخبيثة)، تلاه قطاع أتمتة المباني (25%)، ثم منشآت الطاقة الكهربائية (22.8%)، ومواقع البناء (22.4%)، والمعدات الهندسية (21.7%)، ومنشآت النفط والغاز (17.8%)، وقطاع التصنيع (17.6%). أبرز مصادر التهديد في مطلع 2025، حافظ مشهد التهديدات السيبرانية للتكنولوجيا التشغيلية على تنوعه، مع استمرار الإنترنت كمصدر أساسي للمخاطر (حيث تم صد التهديدات عن 10.11% من أجهزة التحكم الصناعي)، يليه تطبيقات البريد الإلكتروني (2.81%) والوسائط القابلة للإزالة (0.52%). وصرّح يفغيني غونتشاروف، رئيس فريق كاسبرسكي للاستجابة لطوارئ أنظمة التحكم الصناعي: «مع استمرار الإنترنت كمصدر رئيسي للتهديدات على أجهزة التحكم الصناعي، شهد الربع الأول من 2025 ارتفاعاً في نسبة أجهزة التحكم الصناعي المستهدفة بالبرمجيات الخبيثة المنتشرة عبر الإنترنت للمرة الأولى منذ بداية 2023. وتتمثل الفئات الرئيسية للتهديدات من الإنترنت في المواقع المحظورة، والسكربتات الخبيثة، وصفحات التصيد الاحتيالي. وتعد السكربتات الخبيثة وصفحات التصيد الاحتيالي الفئة الرائدة من البرمجيات الخبيثة المستخدمة للإصابة الأولية لأجهزة التحكم الصناعي - حيث تعمل كناقلات للبرمجيات الخبيثة في المراحل التالية، مثل برامج التجسس وبرامج تعدين العملات المشفرة وبرمجيات الفدية. ويسلط الارتفاع في الهجمات عبر الإنترنت على أنظمة التحكم الصناعي الضوء على الحاجة الملحة لتقنيات كشف التهديدات المتقدمة لمواجهة حملات البرمجيات الخبيثة المتطورة.» لضمان حماية أجهزة التكنولوجيا التشغيلية من مختلف التهديدات، يوصي خبراء كاسبرسكي بـ: ● إجراء فحوصات أمنية دورية لأنظمة التكنولوجيا التشغيلية لرصد ومعالجة الثغرات الأمنية المحتملة. ● وضع آلية مستمرة لتقييم وتصنيف نقاط الضعف كأساس لإدارتها بفعالية. يمكن لحلول متخصصة مثل Kaspersky Industrial CyberSecurity أن تكون عوناً فعالاً ومصدراً لمعلومات فريدة وقابلة للتنفيذ، غير متوفرة بشكل كامل للعامة. ● تحديث المكونات الرئيسية لشبكة التكنولوجيا التشغيلية في المؤسسة دورياً؛ مع تطبيق الإصلاحات والتحديثات الأمنية أو اتخاذ إجراءات تعويضية بمجرد توفر الإمكانية التقنية، وذلك لمنع الحوادث الكبيرة التي قد تكلف الملايين نتيجة تعطل الإنتاج. ● توظيف حلول الكشف والاستجابة للتهديدات المتطورة مثل Kaspersky Next EDR Expert للكشف المبكر عن التهديدات المعقدة، وتحليلها، والتعامل معها بفعالية. ● رفع كفاءة التعامل مع الأساليب الخبيثة الحديثة والمتقدمة عبر تطوير وتعزيز مهارات الفِرق في منع واكتشاف ومعالجة الحوادث. ويشكّل التدريب المتخصص على أمن التكنولوجيا التشغيلية لفريقي أمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية إحدى الركائز الأساسية لتحقيق ذلك. يمكن الاطلاع على التقرير الشامل حول تهديدات أنظمة التحكم الصناعي للربع الأول من 2025 من خلال الرابط. -
أهل مصر
منذ 5 أيام
- أهل مصر
أكثر قطاعات التكنولوجيا التشغيلية تعرضاً للهجمات منذ بداية 2025
كشف تقرير حديث من فريق كاسبرسكي للاستجابة لطوارئ الأمن السيبراني في أنظمة التحكم الصناعي أنه خلال الربع الأول من 2025، تم اعتراض هجمات خبيثة على 21.9% من أجهزة التحكم الصناعي حول العالم. وتباينت النسب حسب المناطق من 10.7% في شمال أوروبا إلى 29.6% في إفريقيا. وشهدت الفترة بين الربع الرابع من 2024 والربع الأول من 2025 ارتفاعاً في نسبة الأجهزة المستهدفة في روسيا (0.9 نقطة مئوية)، وآسيا الوسطى (0.7 نقطة مئوية)، وجنوب آسيا (0.3 نقطة مئوية)، وغرب أوروبا (0.2 نقطة مئوية)، وشمال وجنوب أوروبا (0.1 نقطة مئوية لكل منهما). التهديدات حسب القطاعات تصدر قطاع القياسات الحيوية قائمة القطاعات المستهدفة (بنسبة 28.1% من أجهزة التحكم الصناعي المحمية من البرمجيات الخبيثة)، تلاه قطاع أتمتة المباني (25%)، ثم منشآت الطاقة الكهربائية (22.8%)، ومواقع البناء (22.4%)، والمعدات الهندسية (21.7%)، ومنشآت النفط والغاز (17.8%)، وقطاع التصنيع (17.6%). أبرز مصادر التهديد في مطلع 2025، حافظ مشهد التهديدات السيبرانية للتكنولوجيا التشغيلية على تنوعه، مع استمرار الإنترنت كمصدر أساسي للمخاطر (حيث تم صد التهديدات عن 10.11% من أجهزة التحكم الصناعي)، يليه تطبيقات البريد الإلكتروني (2.81%) والوسائط القابلة للإزالة (0.52%). وصرّح يفغيني غونتشاروف، رئيس فريق كاسبرسكي للاستجابة لطوارئ أنظمة التحكم الصناعي: «مع استمرار الإنترنت كمصدر رئيسي للتهديدات على أجهزة التحكم الصناعي، شهد الربع الأول من 2025 ارتفاعاً في نسبة أجهزة التحكم الصناعي المستهدفة بالبرمجيات الخبيثة المنتشرة عبر الإنترنت للمرة الأولى منذ بداية 2023. وتتمثل الفئات الرئيسية للتهديدات من الإنترنت في المواقع المحظورة، والسكربتات الخبيثة، وصفحات التصيد الاحتيالي. وتعد السكربتات الخبيثة وصفحات التصيد الاحتيالي الفئة الرائدة من البرمجيات الخبيثة المستخدمة للإصابة الأولية لأجهزة التحكم الصناعي - حيث تعمل كناقلات للبرمجيات الخبيثة في المراحل التالية، مثل برامج التجسس وبرامج تعدين العملات المشفرة وبرمجيات الفدية. ويسلط الارتفاع في الهجمات عبر الإنترنت على أنظمة التحكم الصناعي الضوء على الحاجة الملحة لتقنيات كشف التهديدات المتقدمة لمواجهة حملات البرمجيات الخبيثة المتطورة.» لضمان حماية أجهزة التكنولوجيا التشغيلية من مختلف التهديدات، يوصي خبراء كاسبرسكي بـ: ● إجراء فحوصات أمنية دورية لأنظمة التكنولوجيا التشغيلية لرصد ومعالجة الثغرات الأمنية المحتملة. ● وضع آلية مستمرة لتقييم وتصنيف نقاط الضعف كأساس لإدارتها بفعالية. يمكن لحلول متخصصة مثل Kaspersky Industrial CyberSecurity أن تكون عوناً فعالاً ومصدراً لمعلومات فريدة وقابلة للتنفيذ، غير متوفرة بشكل كامل للعامة. ● تحديث المكونات الرئيسية لشبكة التكنولوجيا التشغيلية في المؤسسة دورياً؛ مع تطبيق الإصلاحات والتحديثات الأمنية أو اتخاذ إجراءات تعويضية بمجرد توفر الإمكانية التقنية، وذلك لمنع الحوادث الكبيرة التي قد تكلف الملايين نتيجة تعطل الإنتاج. ● توظيف حلول الكشف والاستجابة للتهديدات المتطورة مثل Kaspersky Next EDR Expert للكشف المبكر عن التهديدات المعقدة، وتحليلها، والتعامل معها بفعالية. ● رفع كفاءة التعامل مع الأساليب الخبيثة الحديثة والمتقدمة عبر تطوير وتعزيز مهارات الفِرق في منع واكتشاف ومعالجة الحوادث. ويشكّل التدريب المتخصص على أمن التكنولوجيا التشغيلية لفريقي أمن تكنولوجيا المعلومات والتكنولوجيا التشغيلية إحدى الركائز الأساسية لتحقيق ذلك. يمكن الاطلاع على التقرير الشامل حول تهديدات أنظمة التحكم الصناعي للربع الأول من 2025 من خلال الرابط. -
