كشف تحليل أمني متقدم عن حملة تجسّب إلكتروني معقدة تنسب إلى جهات تهديد ذات صلات قوية بجمهورية كوريا الشمالية، حيث تستخدم منصة جيت هاب المشروعة كبنية تحتية خفية للتحكم والأمر (C2). وفقاً لتحليل مفصل من مختبرات فورتي جارد التابعة لشركة فورتينيت، تعمل هذه العملية متعددة المراحل على استهداف منظمات في كوريا الجنوبية بشكل خاص، مستخدمة سلسلة هجوم معقدة تبدأ بملفات اختصار ويندوز (LNK) معتمة. تعمل ملفات LNK الخبيثة هذه كناقل عدوى أولي، مصممة لتنفيذ سكريبت PowerShell الذي ينشر في النهاية وثيقة PDF خداعية للحفاظ على وهم الشرعية، بينما يقوم في الوقت نفسه بتنزيل وتنفيذ حمولات خبيثة إضافية من مستودعات جيت هاب المخترقة.
يمثل الاستخدام الاستراتيجي لجيت هاب كقناة تحكم وأمر تطوراً كبيراً في الأساليب التكتيكية، مما يسمح للمهاجمين بدمج حركة مرورهم الخبيثة مع حركة المرور الشرعية العالمية الموجهة إلى النطاقات الموثوقة. تجعل هذه التقنية، التي يشار إليها غالباً باسم "العيش على الأرض" أو استخدام "البنية التحتية المشروعة لأغراض خبيثة" (LIM)، الكشف عن الهجمات صعباً للغاية على أدوات أمن الشبكات التقليدية. من خلال استضافة سكريبتات الأوامر والحمولات الثانوية على منصة مطورين موثوقة ومستخدمة على نطاق واسع، يتجاوز الخصوم بشكل فعال مرشحات الشبكة التي من شأنها عادةً حظر الاتصالات بعناوين IP أو نطاقات خبيثة أو مشبوهة معروفة، مما يزيد من التخفي واستمرارية عملياتهم.
يتم تخطيط منهجية الهجوم بدقة. يحتوي ملف LNK الأولي، الذي يتم تسليمه غالباً عبر رسائل البريد الإلكتروني التصيدية المستهدفة، على أوامر PowerShell معتمة. عند التنفيذ، يؤدي هذا السكريبت وظائف متعددة: يسترجع الحمولة ذات المرحلة التالية من مستودع جيت هاب محدد مسبقاً، وينشئ ملف PDF خداعي على نظام الضحية لتجنب إثارة الشكوك الفورية، ويؤسس قناة اتصال مستمرة مرة أخرى إلى نقطة التحكم والأمر على جيت هاب. تتضمن المراحل اللاحقة تنزيل وحدات إضافية قادرة على استطلاع النظام، وجمع بيانات الاعتماد، وتسريب البيانات، كل ذلك يتم تنسيقه من خلال عمليات النشر والتحديثات على مشروع جيت هاب، والتي تعمل كأوامر للبرمجيات الخبيثة المزروعة.
تؤكد هذه الحملة على الطبيعة المستمرة والقابلة للتكيف لمجموعات التهديد المستمر المتقدمة (APT) المنحازة لكوريا الشمالية، مثل مجموعة لازاروس أو كيمسوكي، المعروفة بعملياتها ذات الدوافع المالية والمدفوعة بالتجسس. إن استهداف الكيانات الكورية الجنوبية يتوافق مع نمط طويل الأمد من النشاط الإلكتروني الجيوسياسي المنبثق من الشمال. بالنسبة للمحترفين في مجال الأمن السيبراني، يسلط هذا الحادث الضوء على الحاجة الماسة لتعزيز مراقبة حركة المرور الصادرة إلى موفري البرمجيات كخدمة (SaaS) والمنصة كخدمة (PaaS)، وتنفيذ ضوابط على مستوى التطبيق، وتثقيف المستخدمين حول مخاطر مرفقات البريد الإلكتروني غير المرغوب فيها، حتى تلك التي تبدو كاختصارات مستندات بسيطة.
