تسببت مجموعة لازاروس الكورية الشمالية في إثارة القلق بين الشركات المالية وقطاع العملات الرقمية، حيث استخدمت برمجية خبيثة تعرف باسم RemotePE. تشير الأبحاث إلى أن هذه البرمجية تُعد جزءًا من سلسلة هجمات متعددة المراحل تستهدف المؤسسات المالية وتعتبر تهديدًا أمنيًا فادحًا.
بنية البرمجية الخبيثة
تتضمن سلسلة الهجوم نوعين من اللودرات، هما DPAPILoader وRemotePELoader، حيث يعمل DPAPILoader على فك تشفير وتحميل RemotePELoader من القرص باستخدام API حماية البيانات في ويندوز. بعد ذلك، يقوم RemotePELoader بالاتصال بخادم للتحكم عن بُعد (C2) وينتظر التعليمات لتنفيذ RemotePE، وهي برمجية خبيثة تعمل فقط في الذاكرة ولا تترك أثارًا على النظام.
كيفية انتشار الهجوم
بدأ الهجوم من خلال استغلال وسائل التواصل الاجتماعي، حيث تم التواصل مع موظف في إحدى الشركات بطريقة احتيالية، جعلهم يعتقدون أنهم يتحدثون مع موظف حقيقي. تم استخدام رسائل على تطبيق تيليجرام لتحديد اجتماع، مستخدمين نطاقات وهمية.
أهمية الكشف عن RemotePE
قام الباحثون في مجال الأمن السيبراني بالتأكيد على أن هذه البرمجية تم تصميمها للعب دور طويل الأمد في الحملات التجسسية، مما يسمح للمهاجمين بالاحتفاظ بالوصول لفترة طويلة قبل القيام بسرقات بيانات أو تنفيذ عمليات احتيال مالية كبيرة. تم تطوير RemotePE بنهج يجعل منه أداة مثالية لاستهداف المؤسسات المالية ذات القيمة العالية.
إجراءات وقائية متوقعة
يجب أن تكون الشركات المالية والجهات المعنية بالعملات الرقمية على دراية بالمخاطر المحتملة المرتبطة بهذه البرمجية. إن التدابير الممكنة تشمل تعزيز عمليات الأمان السيبراني، وتحسين مستوى الوعي بين الموظفين، وتبني حلولا متطورة لمكافحة البرمجيات الخبيثة. إن عدم اتخاذ الإجراءات المناسبة قد يعرض المؤسسات لمخاطر كبيرة في خضم هذا التهديد المتزايد.
وفقًا لما أورده thehackernews.com، فإن هذه التطورات تثير القلق بشأن المستقبل الأمني للقطاعات المالية، مع أهمية تحسين استراتيجيات الأمان للتصدي لهذه التهديدات.
هذا المحتوى إخباري وتحليلي فقط ولا يمثل توصية استثمارية.
مصادر البيانات
- مصدر الخبر: thehackernews.com
