في كشف أمني نوعي يسلط الضوء على التهديدات السيبرانية المتطورة، أعلن فريق البحث والتحليل العالمي (GReAT) في شركة كاسبرسكي، تفاصيل حملة هجومية جديدة ومعقدة للغاية، أطلق عليها اسم (Operation SyncHole)، تشنها مجموعة (لازاروس) Lazarus، وهي واحدة من أشهر وأخطر المجموعات النشيطة في مجال التهديدات المتقدمة المستمرة (APT)، على مستوى العالم.
وقد استهدفت هذه الحملة الخبيثة مؤسسات حيوية في كوريا الجنوبية، وتميزت باعتمادها على مزيج متطور وغير تقليدي من تكتيكات الاختراق، فقد لاحظ فريق كاسبرسكي أن المجموعة تستخدم ما يُعرف باسم هجوم (Watering Hole)، بالإضافة إلى استغلال الثغرات الأمنية في البرمجيات الشائعة الاستخدام ضمن بيئة العمل في كوريا الجنوبية، التي يطورها طرف ثالث.
كما اكتشف فريق كاسبرسكي خلال التحقيق في هذه الحملة، (ثغرة يوم الصفر) في برنامج (Innorix Agent) الكوري المستخدم على نطاق واسع، وفور اكتشاف هذه الثغرة أبلغت كاسبرسكي وكالة الإنترنت والأمن الكورية (KrCERT)، وهي الجهة المسؤولة عن الاستجابة للحوادث السيبرانية في كوريا الجنوبية، للتعامل معها ومعالجتها بسرعة.
وتشكل (ثغرات يوم الصفر) Zero-Day Vulnerabilities، خطرًا بالغًا للغاية بسبب عدم وجود حلول أو تحديثات أمنية معروفة لها لحظة اكتشافها، مما يسمح للمهاجمين باستغلالها بنجاح دون أن تتمكن الأنظمة المستهدفة من الدفاع عن نفسها قبل أن يتمكن المطورون من إصدار تحديثات أمنية لمعالجتها.
كشف التقرير الصادر عن فريق (GReAT) أن الحملة الهجومية الجديدة استهدفت ما لا يقل عن ست مؤسسات ضمن قطاعات حيوية ومهمة في كوريا الجنوبية، شملت: قطاع البرمجيات، وتكنولوجيا المعلومات، والخدمات المالية، وصناعة أشباه الموصلات، بالإضافة إلى قطاع الاتصالات الحيوي، الذي يمثل شريان الحياة الرقمية. ومع ذلك يشير فريق كاسبرسكي إلى أن العدد الفعلي للشركات والمؤسسات التي تعرضت للاختراق والتضرر خلال هذه الحملة قد يكون أكبر بكثير نظرًا إلى طبيعة الهجوم وانتشاره المحتمل.
ولاحظ خبراء كاسبرسكي أن الهجمات الأولية – هجمات (Watering Hole) – اعتمدت على استغلال مواقع إلكترونية إعلامية مخترقة وشائعة يزورها عدد كبير من المستخدمين المستهدفين المحتملين، واُستخدمت هذه المواقع كطعم، إذ عمل مجموعة لازاروس على تصفية زوار الموقع لتحديد الضحايا المطلوبين ومن ثم إعادة توجيههم إلى مواقع تسيطر عليها، لتنفيذ المرحلة التالية من سلسلة الهجوم، التي تؤدي إلى استغلال الثغرات وتنزيل البرمجيات الخبيثة.
وقد استغلت مجموعة لازاروس ثغرة أمنية في برنامج (Innorix Agent)، وهو أداة خارجية شائعة الاستخدام في كوريا الجنوبية ومدمجة في المتصفحات لتسهيل نقل الملفات بنحو آمن في الأنظمة الإدارية والمالية، ومكّنت هذه الثغرة المهاجمين من التنقل داخل الشبكات المستهدفة، وتثبيت برمجيات خبيثة مثل: (ThreatNeedle)، و(LPEClient)، بالإضافة إلى أداة (Agamemnon) الخبيثة، التي استهدفت إصدارًا قديمًا من البرنامج.
واكتشف خبراء كاسبرسكي خلال تحليل سلوك البرمجية الخبيثة، أنها تتيح للمهاجمين تنزيل ملفات عشوائية، ويعني ذلك أن المهاجمين كانوا قادرين على تجاوز القيود وسحب أي ملف بحرية من النظام المستهدف والمصاب بالثغرة دون الحاجة إلى تصاريح، مما يوفر قدرة كبيرة على سرقة البيانات الحساسة أو جمع المعلومات الاستخباراتية.
وقد رُصدت هذه الثغرة قبل استغلال المهاجمين لها، وسارعت كاسبرسكي باتخاذ إجراءات استباقية وحاسمة وفقًا لمبادئ الإفصاح المسؤول، إذ أبلغت وكالة الإنترنت والأمن الكورية، وكذلك الشركة المُصنِّعة لبرنامج (Innorix Agent) بالنتائج، واستجابت الشركة المصنعة بسرعة بإصدار تحديثات لمعالجة الثغرة الأمنية، التي عُين المُعرف (KVE-2025-0014) لها، مما ساعد في الحد من مخاطر الاستغلال.
