حذر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) وجهاز المخابرات الوطنية في كوريا الجنوبية (NIS) بشكل مشترك من أن مجموعة القراصنة Lazarus في كوريا الشمالية استغلت نقاط الضعف في برنامج MagicLine4NX لغزو سلسلة من الشركات وتنفيذ هجمات على سلسلة التوريد. MagicLine4NX هو برنامج مصادقة أمان تم تطويره بواسطة شركة DreamSecurity الكورية ويستخدم لتسجيل الدخول الآمن للمؤسسات. استغلت الجهات الفاعلة في مجال التهديد في كوريا الشمالية ثغرات يوم الصفر في المنتج لتسوية أهدافها، وخاصة المؤسسات الكورية الجنوبية، وفقًا لاستشارة مشتركة للأمن السيبراني.

وجاء في التحذير: "في مارس 2023، استغلت الجهات الفاعلة السيبرانية نقاط الضعف في البرامج في المصادقة الأمنية وأنظمة اتصال الشبكة جنبًا إلى جنب للحصول على وصول غير مصرح به إلى الشبكة الداخلية للمنظمة المستهدفة". "لقد استغلت ثغرة أمنية في برنامج المصادقة الآمنة MagicLine4NX للحصول على الاختراق الأول لجهاز الكمبيوتر المستهدف المتصل بالإنترنت واستغلت ثغرة يوم الصفر في النظام المرتبط بالشبكة للتحرك بشكل جانبي والحصول على وصول غير مصرح به إلى المعلومات."

قام هذا الهجوم أولاً بغزو موقع ويب إعلامي وقام بتضمين نصوص برمجية ضارة في المقالات لتنفيذ هجوم "ثقب الماء".

عندما يصل هدف ضمن نطاق IP محدد إلى مقالة على موقع الويب المخترق، سيقوم البرنامج النصي بتنفيذ تعليمات برمجية ضارة، مما يؤدي إلى تفعيل الثغرة الأمنية المذكورة أعلاه في برنامج MagicLine4NX، مما يؤثر على الإصدارات السابقة لـ 1.0.0.26. يؤدي هذا إلى اتصال جهاز الكمبيوتر الخاص بالضحية بخادم C2 (القيادة والتحكم) الخاص بالمهاجم، مما يسمح له باستغلال نقاط الضعف في نظام اتصال الشبكة للوصول إلى خادم الإنترنت. استخدم المتسللون الكوريون الشماليون وظيفة مزامنة البيانات في النظام لنشر كود سرقة المعلومات إلى الخادم الخاص بالأعمال، وبالتالي غزو أجهزة الكمبيوتر الشخصية داخل المنظمة المستهدفة. يتصل الكود المزروع بخادمين C2، أحدهما يعمل كبوابة وسيطة والآخر يقع خارج الإنترنت. تشمل وظائف التعليمات البرمجية الضارة الاستطلاع، واستخلاص البيانات، وتنزيل وتنفيذ الحمولات المشفرة من C2، وحركة الشبكة الجانبية.

مخطط تحليل سلسلة الهجوم/NCSC

لمزيد من المعلومات حول الهجوم، الذي يحمل الاسم الرمزي "Dream Magic" والذي نفذه لازاروس سيئ السمعة، يرجى الاطلاع على تقرير AhnLab هذا (متوفر باللغة الكورية فقط):

https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf

اعتمدت عمليات القرصنة التي ترعاها الدولة في كوريا الشمالية تاريخياً على هجمات سلسلة التوريد واستغلال نقاط الضعف في يوم الصفر كجزء من تكتيكات الحرب السيبرانية.

في مارس 2023، تم اكتشاف أن "Maze Chollima" (مجموعة فرعية من Lazarus) نفذت هجوم سلسلة التوريد على الشركة المصنعة لبرمجيات VoIP 3CX واجتاحت العديد من الشركات المعروفة حول العالم.

كشفت Microsoft يوم الجمعة عن هجوم على سلسلة التوريد على CyberLink استخدمته مجموعة Lazarus hacker لإطلاق برنامج تثبيت تطبيق مزيف موقّع رقميًا ومُوقع رقميًا، مما أدى إلى إصابة ما لا يقل عن مائة جهاز كمبيوتر بالبرنامج الضار "LambLoad".

وتستخدم مجموعات القرصنة في كوريا الشمالية هذه الأنواع من الهجمات لاستهداف شركات محددة، سواء للتجسس الإلكتروني أو الاحتيال المالي أو سرقة العملات المشفرة.

وفي وقت سابق من هذا العام، حذرت المجموعة الاستشارية للأمن السيبراني (CSA) من أن الأموال المسروقة من هجمات القرصنة الكورية الشمالية تُستخدم لتمويل العمليات في البلاد. "تقدر الوكالة أن مبالغ غير محددة من الإيرادات من شركات العملات المشفرة هذه تدعم الأولويات والأهداف الوطنية لكوريا الشمالية، بما في ذلك العمليات السيبرانية ضد حكومتي الولايات المتحدة وكوريا الجنوبية - مع أهداف محددة بما في ذلك شبكات معلومات وزارة الدفاع وشبكات أعضاء القاعدة الصناعية الدفاعية،" كما جاء في الرأي الاستشاري لـ CISA.