امن وحماية المعلومات

عنوان جيش لازاروس الكوري الشمالي يتحول إلى برمجيات خبيثة غير ملفية في هجمات جديدة على العملات الرقمية

صورة قائد البيتكوين قائد البيتكوينمنذ ساعتينآخر تحديث: 26 مايو، 2026
3 دقائق
عنوان جيش لازاروس الكوري الشمالي يتحول إلى برمجيات خبيثة غير ملفية في هجمات جديدة على العملات الرقمية

اكتشف خبراء الأمن السيبراني برنامجًا خبيثًا جديدًا من نوع “حصان طروادة” بدون ملفات، يُسمى RemotePE. يستخدمه مجموعة قراصنة تُعرف باسم “لازاروس” (Lazarus Group) التي يُعتقد أنها مرتبطة بكوريا الشمالية، لاستهداف البنوك وشركات العملات الرقمية.

وفقًا لتحليل حديث، يعمل هذا البرنامج الخبيث بالكامل في ذاكرة الكمبيوتر، مما يجعله يكاد لا يترك أي آثار على أنظمة الكمبيوتر المصابة.

مجموعة لازاروس تستخدم الهندسة الاجتماعية لخداع المستثمرين

تبدأ مجموعة لازاروس الاختراق عبر تقنيات الهندسة الاجتماعية. يتظاهرون بأنهم موظفون في شركات تداول عبر تطبيق تيليجرام. للقيام بذلك، يستخدم المخترقون نسخًا مزيفة من تطبيقي “Calendly” و”Picktime” المشهورين لجدولة المواعيد.

بعد الموافقة على الاجتماع، تبدأ سلسلة الأحداث حتى يتم تثبيت أول برنامج خبيث. هذه الطريقة التي تعتمد على “تدخل بشري في الحلقة” تمكن مشغلي لازاروس من تطوير أساليب إغراء فعالة.

كيف يعمل البرنامج الخبيث؟

يعمل البرنامج الخبيث عبر سلسلة منظمة من ثلاث مراحل تهدف إلى تقليل العمليات على القرص الصلب. المرحلة الأولى هي “DPAPILoader”، وهي مكتبة ارتباط ديناميكي (DLL) معروفة أيضًا باسم ملف Iassvc.dll منذ نوفمبر 2023.

يستخدم البرنامج واجهة حماية بيانات ويندوز (DPAPI) لفك تشفير حمولة مخزنة على القرص. بعد ذلك، تُرسل الحمولة المفكوكة إلى “RemotePELoader”، الذي ينشئ اتصال HTTP مع خادم القيادة والتحكم (C2) على العنوان aes-secure[.]net. بعد ذلك، يقوم بتحميل وتشغيل المرحلة الأخيرة من RemotePE في الذاكرة.

لتجاوز أنظمة الكشف والاستجابة (EDR)، يستخدم RemotePELoader تقنيات “Hell’s Gate” و”ETW Patching” لتجنب الاكتشاف.

وأخيرًا، لا تلمس الحمولة الرئيسية لـ RemotePE نظام الملفات أبدًا، مما يحافظ على رؤية قليلة للأدلة الجنائية طوال سلسلة الهجوم. تم اكتشاف هذا البرنامج الخبيث لأول مرة في سبتمبر 2025.

في الحادثة المُبلغ عنها، تعرضت شركة للتمويل اللامركزي (DeFi) لاختراق بنيتها التحتية بثلاثة برامج RAT مختلفة—RemotePE وPondRAT وThemeForestRAT—التي حلت محل بعضها البعض في النهاية.

التكنولوجيا المتقدمة والذكاء الاصطناعي يتحولان إلى كابوس للمتداولين

في السابق، لجأ مستثمرو العملات الرقمية إلى الذكاء الاصطناعي والتكنولوجيا لتبسيط التداول. الآن، وقعت نفس الأدوات في أيدي القراصنة، مما تسبب لهم في خسائر مالية ضخمة.

خصائص مثل “Environmental keying” عبر DPAPI، والتنفيذ في الذاكرة فقط، وتقنيات ETW patching، وHell’s Gate تجعل اكتشاف RemotePE شبه مستحيل بالطرق التقليدية. لاحظ المحللون في شركة Fox-IT التابعة لمجموعة NCC Group أن هذه الخصائص تشير إلى أن البرنامج الخبيث مصمم للبقاء لفترة طويلة لجمع المعلومات قبل شن الهجوم، على عكس هجمات البرامج الخبيثة التخريبية النموذجية.

سرقت مجموعة لازاروس بالفعل حوالي 577 مليون دولار من العملات الرقمية في الأشهر الأربعة الأولى من عام 2026. ويمثل هذا 76% من جميع عمليات سرقة العملات الرقمية عالميًا، على الرغم من وقوع حادثتي اختراق كبيرتين فقط، وفقًا لشركة تحليلات البلوكتشين TRM Labs.

ارتفعت نسبة اختراقات العملات الرقمية المنسوبة إلى كوريا الشمالية بشكل حاد. من أرقام أحادية الرقم في السنوات السابقة إلى 64% في عام 2025 و76% في عام 2026. وبلغ إجمالي المبالغ المسروقة المسجلة الآن 6 مليارات دولار منذ عام 2017. يُزعم أن هذه الأموال تمول برامج تطوير الأسلحة والنووية في البلاد وسط العقوبات.

القراصنة يستخدمون الذكاء الاصطناعي لزعزعة استقرار المطورين خلف كيانات تقنية كبرى

اكتشف خبراء الأمن السيبراني هجومًا واسع النطاق استهدف فيه القراصنة أكثر من 700 موقع يديرها نظام إدارة المحتوى “Ghost”، مستغلين ثغرة خطيرة في حقن SQL. أعطت الهجمات الإلكترونية المخترقين إمكانية الوصول إلى أسماء المستخدمين وكلمات المرور لحسابات المديرين، مما مكنهم من حقن برامج خبيثة عبر عمليات إعادة التوجيه باستخدام JavaScript في قنوات التوزيع الخاصة بهم “ClickFix”.

المنصات المستهدفة تشمل مؤسسات أكاديمية، ومشاريع ذكاء اصطناعي، وخدمات بلوكتشين، وموفري برامج كخدمة (SaaS)، ومصادر أبحاث الأمن السيبراني، ووكالات أنباء، وشركات تكنولوجيا مالية.

يُطلب من الضحايا الذين يواجهون اختبار CAPTCHA المزيف إدخال سلسلة مشفرة بصيغة Base64 في مربع الحوار “Run”. في هذه الخطوة، يمكنهم تنزيل ملف ZIP يحتوي على ملف نصي دفعي (batch script). يقوم هذا الملف النصي بعد ذلك بتشغيل أمر PowerShell الذي سيجلب إما ملف DLL موقّع أو ملفات JavaScript من خادم بعيد.

الإصدارات السابقة من البرنامج الخبيث كانت تشغل ملف DLL باستخدام rundll32.exe. ومع ذلك، تقوم الإصدارات الحديثة بتثبيت مُثبّت Inno Setup لإصدار مفتوح المصدر من تطبيق Electron يُسمى Grape. عند التثبيت، يصبح البرنامج الخبيث دائمًا ويستقصي مجال خادم القيادة والتحكم (C2) web-telegram[.]ug كل 30 ثانية.

أسئلة وأجوبة شائعة (FAQ)

  • س: ما هو برنامج RemotePE الخبيث ومن يستخدمه؟
    ج: هو برنامج “حصان طروادة” بدون ملفات يعمل بالكامل في الذاكرة. تستخدمه مجموعة لازاروس المرتبطة بكوريا الشمالية لسرقة البيانات من البنوك وشركات العملات الرقمية.
  • س: كيف تتمكن مجموعة لازاروس من اختراق الضحايا؟
    ج: يستخدمون الهندسة الاجتماعية عبر تطبيق تيليجرام، حيث يتظاهرون بأنهم موظفون في شركات تداول ويستخدمون نسخًا مزيفة من تطبيقات جدولة المواعيد لخداع الضحايا وتثبيت البرامج الخبيثة.
  • س: ما هي أبرز إحصائيات سرقات العملات الرقمية من كوريا الشمالية؟
    ج: سرقت المجموعة حوالي 577 مليون دولار في أول 4 أشهر من 2026، وهو ما يمثل 76% من إجمالي سرقات العملات الرقمية عالميًا. وبلغ إجمالي المسروقات منذ 2017 حوالي 6 مليارات دولار.
صورة قائد البيتكوين قائد البيتكوينمنذ ساعتينآخر تحديث: 26 مايو، 2026
3 دقائق
صورة قائد البيتكوين

قائد البيتكوين

قائد فكري في مجتمع العملات الرقمية، يوجه المستثمرين نحو قرارات سليمة مبنية على فهم عميق لأسواق البيتكوين.
زر الذهاب إلى الأعلى