تستهدف مجموعة القرصنة الكورية الشمالية المعروفة باسم “كوني” الآن مهندسي البلوكشين باستخدام برامج ضارة تم إنشاؤها بالذكاء الاصطناعي. وفقًا للتقارير، تقوم مجموعة القرصنة بنشر برنامج ضار تم إنشاؤه بالذكاء الاصطناعي عبر “باورشل”، تستخدمه لاستهداف المطورين والمهندسين في صناعة البلوكشين والعملات الرقمية.
مجموعة كوني الكورية الشمالية تطلق برامج ضارة بالذكاء الاصطناعي
يعتقد أن مجموعة القرصنة الكورية الشمالية هذه تعمل على الأقل منذ عام 2014 وترتبط بأنشطة مجموعات أخرى مثل APT37 وKimusky. استهدفت المجموعة منظمات منتشرة في كوريا الجنوبية وأوكرانيا وروسيا وعدة دول أوروبية أخرى. وفقًا لعينة التهديد التي حللها باحثو شركة CheckPoint، فإن الحملة الأخيرة للمجموعة الكورية الشمالية تستهدف منطقة آسيا والمحيط الهادئ.
بدأت الهجمات عندما تلقى الضحايا رابطًا على تطبيق Discord يؤدي إلى تحميل أرشيف مضغوط. يحتوي هذا الأرشيف على مستند PDF وهمي وملقف مختصر خبيث. عند تشغيل الملف المختصر، يتم تنفيذ برنامج نصي ضار يستخرج مستند DOCX وأرشيف CAB يحتوي على برنامج خلفي، وملفين دفعة، وبرنامج تجاوز للحماية.
بعد تشغيل الملف، يفتح المستند الوثيقة الوهمية وينفذ ملفًا دفعة. يوضح مستند DOCx أن هدف القراصنة هو اختراق بيئة التطوير، مما قد يمنحهم الوصول إلى أصول حساسة مثل البنية التحتية، ومعلومات الدخول إلى واجهات البرمجة، والوصول إلى المحافظ الرقمية، وأخيرًا حيازة الأصول الرقمية مثل العملات المشفرة.
كيف يعمل البرنامج الضار ويخفي نفسه؟
يقوم ملف الدفعة الأول بإنشاء مجلد مؤقت للبرنامج الخلفي، بينما ينشئ ملف الدفعة الثاني مهمة مجدولة كل ساعة تحاكي مهمة بدء تشغيل OneDrive. تقرأ هذه المهمة سكريبت باورشل مشفرًا من القرص وتقوم بفك تشفيره للتشغيل في الذاكرة. بعد اكتمال كل هذه الخطوات، يحذف البرنامج الضار نفسه لإزالة جميع علامات الإصابة.
يخفي البرنامج الخلفي أصله بشكل كبير باستخدام ترميز سلاسل نصية معقد وإعادة بناء النصوص أثناء التشغيل. وفقًا للباحثين، يشير برنامج الباورشل الضار هذا إلى وجود تطوير بمساعدة الذكاء الاصطناعي وليس برنامجًا ضارًا مكتوبًا بالطريقة التقليدية.
أدلة على استخدام الذكاء الاصطناعي في القرصنة
من الأدلة على ذلك وجود توثيق واضح ومنظم في أعلى السكريبت، وهو أمر غير معتاد في تطوير البرامج الضارة. بالإضافة إلى ذلك، يتميز البرنامج بتخطيط نظري ووحدوي، ويوجد فيه تعليق يشير إلى “هوية المشروع الدائمة”. لاحظت CheckPoint أن هذه العبارة تظهر علامات على أن الكود تم إنشاؤه بواسطة نموذج لغوي كبير (LLM) من قبل القراصنة الكوريين الشماليين.
يفحص البرنامج الضار أولاً الأجهزة والبرامج وأنشطة المستخدم للتأكد من أنه لا يعمل في بيئة تحليل. بعد ذلك، ينشئ معرفًا فريدًا للجهاز ويتبع مسار عمل محددًا مسبقًا.
اتصال البرنامج الضار بخوادم التحكم
بمجرد تنشيط البرنامج الخلفي بالكامل وتشغيله على الجهاز المصاب، يتصل البرنامج الضار بخادم التحكم والأمر (C2) بشكل دوري لإرسال بيانات الجهاز. إذا كان خادم C2 يحتوي على كود باورشل، فإنه يتحول إلى كتلة سكريبت وينفذ أنشطته باستخدام وظائف خلفية.
يمكن نسب هذه الهجمات إلى قراصنة كوني الكوريين الشماليين بناءً على تنسيق البرنامج المشغل واسم الطعم المستخدم. بالإضافة إلى ذلك، هناك عناصر مشتركة في بنية سلسلة التنفيذ مع الهجمات السابقة. نشر الباحثون أيضًا مؤشرات الاختراق المرتبطة بهذه الحملة لمساعدة المدافعين على التعرف على إصابتهم وحماية أصولهم الرقمية.
الأسئلة الشائعة
من الذي تستهدفه هجمات قراصنة كوني الكوريين الشماليين الجديدة؟
- تستهدف الهجمات الجديدة بشكل رئيسي المطورين والمهندسين العاملين في مجال البلوكشين والعملات الرقمية في منطقة آسيا والمحيط الهادئ.
كيف يخترق البرنامج الضار الأجهزة؟
- يبدأ الهجوم برابط وهمي على Discord يؤدي إلى تحميل ملف ضار. عند تشغيله، يسرق البرنامج الوصول إلى بيئة التطوير والمحافظ الرقمية الحساسة.
ما الجديد في هذه الهجمات؟
- الجديد هو استخدام القراصنة للذكاء الاصطناعي لإنشاء برامجهم الضارة، مما يجعلها أكثر تعقيدًا وأصعب في الكشف، مع تركيز واضح على سرقة العملات المشفرة والأصول الرقمية.
