وقد لوحظ أن جهات التهديد التي لها علاقات مع كوريا الشمالية تستخدم حزم Python المسمومة كوسيلة لتقديم برنامج ضار جديد يسمى PondRAT كجزء من حملة مستمرة.
تم تقييم PondRAT، وفقًا للنتائج الجديدة التي توصلت إليها وحدة Palo Alto Networks Unit 42، على أنها نسخة أخف من POOLRAT (المعروف أيضًا باسم SIMPLESEA)، وهو باب خلفي معروف لنظام التشغيل MacOS والذي تم نسبه سابقًا إلى Lazarus Group وتم نشره في هجمات تتعلق بسلسلة التوريد 3CX. التسوية العام الماضي.
بعض هذه الهجمات هي جزء من حملة هجمات إلكترونية مستمرة يطلق عليها اسم عملية Dream Job، حيث يتم إغراء الأهداف المحتملة بعروض عمل مغرية في محاولة لخداعهم لتنزيل البرامج الضارة.
“قام المهاجمون الذين يقفون وراء هذه الحملة بتحميل العديد من حزم بايثون المسمومة إلى PyPI، وهو مستودع شائع لحزم بايثون مفتوحة المصدر،” هذا ما قاله الباحث في الوحدة 42 يوآف زيماه. قال، ويربط النشاط ذو الثقة المعتدلة بممثل تهديد يسمى Gleaming Pisces.
يتم أيضًا تعقب الخصم من قبل مجتمع الأمن السيبراني الأوسع تحت أسماء Citrine Sleet وLabyrinth Chollima وNickel Academy وUNC4736، وهي مجموعة فرعية داخل Lazarus Group المعروفة أيضًا بتوزيع البرامج الضارة AppleJeus.
ويُعتقد أن الهدف النهائي للهجمات هو “تأمين الوصول إلى بائعي سلسلة التوريد من خلال نقاط النهاية الخاصة بالمطورين ومن ثم الوصول إلى نقاط النهاية لعملاء البائعين، كما لوحظ في الحوادث السابقة”.
قائمة الحزم الضارة، التي تمت إزالتها الآن من مستودع PyPI، موجودة أدناه –
سلسلة العدوى بسيطة إلى حد ما، حيث أنه بمجرد تنزيلها وتثبيتها على أنظمة المطورين، يتم تصميمها لتنفيذ مرحلة تالية مشفرة والتي بدورها تقوم بتشغيل إصدارات Linux وmacOS من برنامج RAT الضار بعد استردادها من خادم بعيد .
كشف تحليل إضافي لبرنامج PondRAT عن أوجه تشابه مع كل من POOLRAT وAppleJeus، حيث قامت الهجمات أيضًا بتوزيع إصدارات Linux جديدة من POOLRAT.
وقال زيماه: “يستخدم إصدارا Linux وmacOS (من POOLRAT) بنية وظيفية متطابقة لتحميل تكويناتها، وتتميز بأسماء طرق ووظائف مماثلة”.
“بالإضافة إلى ذلك، فإن أسماء الطرق في كلا الخيارين متشابهة بشكل لافت للنظر، والسلاسل متطابقة تقريبًا. وأخيرًا، فإن الآلية التي تتعامل مع الأوامر من (خادم القيادة والتحكم) متطابقة تقريبًا.”
يأتي PondRAT، وهو إصدار أصغر حجمًا من POOLRAT، مزودًا بإمكانيات تحميل الملفات وتنزيلها وإيقاف العمليات مؤقتًا لفترة زمنية محددة مسبقًا وتنفيذ أوامر عشوائية.
وقالت الوحدة 42: “أظهر الدليل على وجود متغيرات Linux الإضافية لـ POOLRAT أن Gleaming Pisces يعمل على تعزيز قدراته عبر منصات Linux وmacOS”.
“يشكل استخدام حزم Python ذات المظهر الشرعي كسلاح عبر أنظمة تشغيل متعددة خطرًا كبيرًا على المؤسسات. يمكن أن يؤدي التثبيت الناجح لحزم الطرف الثالث الضارة إلى الإصابة بالبرامج الضارة التي تعرض الشبكة بأكملها للخطر.”
ويأتي هذا الكشف في الوقت الذي تم فيه خداع KnowBe4، لتوظيف ممثل تهديد كوري شمالي كموظف.
قال أكثر من اثنتي عشرة شركة “إما استأجرت موظفين كوريين شماليين أو حوصرت بعدد كبير من السير الذاتية والتطبيقات المزيفة المقدمة من كوريين شماليين يأملون في الحصول على وظيفة في منظمتهم”.
ووصفت النشاط، الذي تتبعه CrowdStrike تحت الاسم المستعار Famous Chollima، بأنه “عملية دولة قومية معقدة وصناعية وواسعة النطاق” وأنها تشكل “خطرًا جسيمًا على أي شركة لديها موظفين يعملون عن بعد فقط”.
تفاصيل Mandiant TTPs لعمال تكنولوجيا المعلومات في كوريا الشمالية
وقالت شركة مانديانت المملوكة لشركة جوجل، والتي أعطت اسم UNC5267 لعمليات العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية، إنها تتكون من أفراد أرسلتهم الحكومة للعيش في الصين وروسيا، وبدرجة أقل في أفريقيا وجنوب شرق آسيا، للحصول على وظائف مربحة داخل البلاد. الشركات الغربية، وتحديداً في قطاع التكنولوجيا الأمريكي.
“يكتسب UNC5267 إمكانية الوصول الأولي من خلال استخدام الهويات المسروقة للتقدم لشغل وظائف مختلفة أو يتم إحضاره كمقاول”. قال. “لقد تقدم مشغلو UNC5267 بشكل أساسي للوظائف التي توفر العمل عن بعد بنسبة 100%.”
وأشارت شركة استخبارات التهديدات أيضًا إلى أن عاملًا واحدًا في مجال تكنولوجيا المعلومات في كوريا الديمقراطية يمكن أن يعمل في وظائف متعددة في وقت واحد، ويحصل على رواتب من شركات مختلفة على أساس شهري.
تشمل الأهداف طويلة المدى لمجموعة الأنشطة تحقيق مكاسب مالية من خلال عمليات سحب الرواتب بشكل غير مشروع، والحفاظ على إمكانية الوصول على المدى الطويل إلى شبكات الضحايا، ومن المحتمل إساءة استخدام الوصول غير المصرح به للتجسس أو النشاط التخريبي.
وقال مانديانت: “إن السمة المتكررة للسير الذاتية التي يستخدمها UNC5267 هي استخدام العناوين الموجودة في الولايات المتحدة إلى جانب أوراق الاعتماد التعليمية من جامعات خارج أمريكا الشمالية، في كثير من الأحيان في دول مثل سنغافورة أو اليابان أو هونج كونج”.
وكما كشفت CrowdStrike سابقًا، فإن الجهات الفاعلة UNC5267 تؤدي واجباتها من خلال الاتصال عن بعد بأجهزة الكمبيوتر المحمولة الصادرة عن الشركة باستخدام أدوات مثل GoToRemote وGoToMeeting وChrome Remote Desktop وAnyDesk وTeamViewer وTeamViewer.
تنشأ هذه الاتصالات من عناوين IP المرتبطة بـ Astrill VPN.
جانب آخر جدير بالملاحظة هو التناقض بين الموقع الذي يدعون أنهم يعيشون فيه حاليًا والموقع الذي يتم تسليم شحنة الكمبيوتر المحمول إليه (على سبيل المثال، مزرعة أجهزة الكمبيوتر المحمول).
كما لوحظ أن العاملين في مجال تكنولوجيا المعلومات يستخدمون الهويات المسروقة لتأمين الوظائف.
وقال مانديانت: “إن القوى العاملة في مجال تكنولوجيا المعلومات في كوريا الشمالية، على الرغم من عملها في ظل قيود كبيرة، تمثل تهديدًا إلكترونيًا مستمرًا ومتصاعدًا”.
“إن الدوافع المزدوجة وراء أنشطتهم – تحقيق أهداف الدولة والسعي لتحقيق مكاسب مالية شخصية – تجعلهم خطيرين بشكل خاص.