أفاد الباحثون أن هذه الهجمة نُفذت من قبل مجموعة ScarCruft، المعروفة أيضًا باسم APT37 أو Reaper، والتي تنشط منذ عام 2012 ويُعتقد أنها تعمل لصالح كوريا الشمالية. تُنسب إليها هجمات على حكومات ومنظمات عسكرية، بالإضافة إلى منشقين كوريين شماليين. وبالتركيز على هذه الحملة، يبدو أن هدفها منطقة يانبيان في الصين، التي تضم جالية كورية كبيرة وتُعد نقطة عبور رئيسية للاجئين.
يزعم الباحثون أن الهجمة، التي ربما بدأت في أواخر عام 2024 ولا تزال مستمرة، تضمنت تعديل منصة Yanmbian، وهي منصة ألعاب تقليدية. على وجه التحديد، قاموا بتعديل إصدارات ويندوز وأندرويد، مُدمجين برامج تجسس دون علم المستخدمين. يُعرف هذا النوع من الهجمات بهجوم سلسلة التوريد، لأن البرنامج الأصلي يُتلاعب به قبل وصوله إلى المستخدم النهائي.
يُطلق على السلاح الرئيسي المستخدم اسم BirdCall، وله وظائف مختلفة، وإن كانت متشابهة، بحسب استخدامه على نظامي أندرويد وويندوز.
- على نظام أندرويد: يمكنه جمع جهات الاتصال، والرسائل النصية، وسجلات المكالمات، والمستندات، وملفات الوسائط المتعددة، والمفاتيح الخاصة. كما يمكنه التقاط لقطات شاشة وتسجيل الأصوات المحيطة.
- على نظام ويندوز: يمكنه تسجيل ضغطات المفاتيح، والتقاط محتويات الحافظة، وسرقة الملفات وبيانات الاعتماد، وتنفيذ الأوامر دون علم الضحية. يُزعم أن نسخة أندرويد قيد التطوير منذ أشهر، وقد تم اكتشاف سبعة إصدارات مختلفة على الأقل. أما أجهزة ويندوز، فقد أصيبت بالعدوى عبر تحديث خبيث، قام أولاً بتثبيت أداة أخرى تُسمى RokRAT. سمح هذا بتثبيت نسخة مُحسّنة من BirdCall.
يُقرّ الباحثون بأنّ اكتشاف هذه البرمجية الخبيثة أمرٌ معقد، إذ تستخدم خدمات سحابية شرعية مثل دروب بوكس وبي كلاود، بالإضافة إلى مواقع إلكترونية مخترقة، للتواصل مع خوادمها. وقد قام الضحايا بتحميل الألعاب من موقع إلكتروني واحد مُعدّل، ثمّ قاموا بتثبيتها دون علمهم بمحتواها الخفي. ومع ذلك، لم يتم العثور على أيّ تطبيقات متأثرة على متجر جوجل بلاي.
ليست هناك تعليقات:
إرسال تعليق