گروه جاسوسی سایبری کُنی کره شمالی، اوکراین را با بدافزار پیشرفته هدف قرار داد: ردگیری جنگ برای اهداف استراتژیک

گروه تهدیدگر سایبری مرتبط با کره شمالی، موسوم به «کُنی اِی پی تی» (Konni APT)، به عنوان عامل یک کارزار فیشینگ پیچیده علیه نهادهای دولتی در اوکراین شناسایی شده است. این حمله نشان ‌دهنده گسترش دامنه اهداف این گروه جاسوسی به فراتر از روسیه و تمرکز آن بر جمع ‌آوری اطلاعات حساس از جنگ اوکراین است. شرکت امنیت سازمانی پروف پوینت (Proofpoint) اعلام کرده که هدف نهایی این کارزار، جمع ‌آوری اطلاعات استراتژیک درباره «مسیر و آینده تهاجم روسیه» به اوکراین است. این نشان می دهد که کره شمالی به دنبال درک عمیق تری از تحولات میدانی و سیاسی این مناقشه است.

پژوهشگران امنیتی، گرگ لزنویچ، سحر نعمان و مارک کلی، در گزارشی که با وبسایت «هکر نیوز» به اشتراک گذاشته ‌اند، اظهار داشتند: «علاقه این گروه به اوکراین، در ادامه سابقه هدف قرار دادن نهادهای دولتی در روسیه به منظور جمع ‌آوری اطلاعات استراتژیک صورت گرفته است.» این موضوع بیانگر آن است که گروه کُنی به دنبال تکمیل پازل اطلاعاتی خود از طریق منابع مختلف در منطقه است.

گروه کُنی اِی پی تی، که با نام‌ های دیگری همچون اُپال اسلیت (Opal Sleet)، اُسمیوم (Osmium)، تی اِی ۴۰۶ (TA406) و وِدالیا (Vedalia) نیز شناخته می ‌شود، یک گروه جاسوسی سایبری با سابقه طولانی در هدف قرار دادن نهاد هایی در کره جنوبی، ایالات متحده آمریکا و روسیه است. فعالیت این گروه حداقل از سال ۲۰۱۴ میلادی رصد شده است و از بازیگران شناخته شده در عرصه تهدیدات مستمر پیشرفته (APT) به شمار می رود. این گروه ها معمولا با دولت ها در ارتباط هستند و اهداف بلند مدت اطلاعاتی و نظامی را دنبال می کنند.

زنجیره ‌های حملات سازماندهی شده توسط این گروه تهدیدگر، اغلب شامل استفاده از ایمیل‌ های فیشینگ برای توزیع بدافزاری به نام «کُنی رَت» (Konni RAT) – که با نام آپ داگ (UpDog) نیز شناخته می ‌شود و هدایت قربانیان به صفحات جعلی برای سرقت اطلاعات اعتباری (Credential Harvesting) است. «رَت» یا ابزار دسترسی از راه دور، به مهاجمان اجازه می دهد کنترل سیستم آلوده را به دست گرفته و اطلاعات آن را به سرقت ببرند. شرکت پروف پوینت در تحلیلی که در نوامبر ۲۰۲۱ از این گروه تهدیدگر منتشر کرد، ارزیابی نمود که تی اِی ۴۰۶ یکی از چندین بازیگری است که فعالیت ‌های آن به طور عمومی تحت عنوان گروه ‌های کیمسوکی (Kimsuky)، تالیوم (Thallium) و گروه کُنی ردیابی می‌ شود. این گروه ها اغلب تاکتیک ها و زیرساخت های مشترکی دارند.

مجموعه حملات جدیدی که توسط این شرکت امنیت سایبری مستند شده است، شامل استفاده از ایمیل ‌های فیشینگی است که در آن ها مهاجمان خود را به عنوان یک عضو ارشد خیالی در یک اندیشکده جعلی به نام «موسسه سلطنتی مطالعات استراتژیک» جا زده ‌اند. این روش، یعنی استفاده از هویت های جعلی و سازمان های ساختگی، یکی از تاکتیک های رایج مهندسی اجتماعی برای جلب اعتماد قربانیان است.

پیام‌ های ایمیل حاوی پیوندی به یک آرشیو RAR رمزگذاری شده هستند که بر روی سرویس ابری مگا (MEGA) میزبانی می‌ شود. باز کردن این آرشیو RAR با استفاده از رمز عبوری که در متن پیام ذکر شده، منجر به اجرای یک توالی آلودگی پیچیده می ‌شود که برای انجام شناسایی گسترده از ماشین ‌های آسیب ‌دیده طراحی شده است. این شناسایی شامل جمع آوری اطلاعات سیستم عامل، سخت افزار، نرم افزارهای نصب شده و اطلاعات شبکه است.

به طور خاص، در داخل آرشیو RAR یک فایل CHM (فایل راهنمای HTML کامپایل شده مایکروسافت) وجود دارد که محتوای فریبنده ‌ای مرتبط با ژنرال والری زالوژنی، رهبر نظامی سابق اوکراین، را نمایش می ‌دهد. این محتوای جعلی برای منحرف کردن توجه قربانی و ترغیب او به کلیک طراحی شده است. چنانچه قربانی در هر قسمتی از این صفحه کلیک کند، یک دستور پاورشل (PowerShell) که در داخل کد HTML جاسازی شده است، اجرا می ‌شود. این دستور با یک سرور خارجی تماس گرفته و یک محموله پاورشل مرحله بعدی را دانلود می‌ کند. پاورشل یک ابزار خط فرمان قدرتمند در ویندوز است که متاسفانه توسط مهاجمان نیز برای اجرای دستورات مخرب به وفور استفاده می شود.

اسکریپت پاورشل تازه اجرا شده، قادر به اجرای دستورات مختلفی برای جمع ‌آوری اطلاعات دقیق درباره سیستم قربانی است. سپس این اطلاعات با استفاده از روش کدگذاری بیس ۶۴ (Base64) رمزنگاری شده و به همان سرور فرمان و کنترل ارسال می ‌شود. کدگذاری بیس ۶۴ برای پنهان سازی داده ها و عبور از برخی مکانیزم های امنیتی ساده استفاده می شود.

پژوهشگران افزودند: «بازیگر تهدیدگر چندین ایمیل فیشینگ را در روزهای متوالی برای هدف ارسال کرده، در صورتی که هدف روی پیوند کلیک نکرده بود، و از هدف سوال می‌ کرد که آیا ایمیل‌ های قبلی را دریافت کرده و آیا فایل ‌ها را دانلود خواهد کرد یا خیر.» این پافشاری نشان دهنده اهمیت هدف برای مهاجمان است.

پروف پوینت همچنین مشاهده کرده است که یک فایل HTML به طور مستقیم به عنوان پیوست در پیام ‌های فیشینگ توزیع می ‌شود. در این نوع از حمله، از قربانی خواسته می ‌شود روی یک پیوند جاسازی شده در فایل HTML کلیک کند که منجر به دانلود یک آرشیو ZIP حاوی یک فایل PDF بی ‌خطر (برای عادی جلوه دادن ماجرا) و یک فایل میانبر ویندوز (LNK) مخرب می ‌شود.

هنگامی که فایل LNK اجرا می ‌شود، یک دستور پاورشل کدگذاری شده با بیس ۶۴ را اجرا می‌ کند تا با استفاده از یک اسکریپت ویژوال بیسیک (VBS)، یک فایل رمزگذاری شده جاوا اسکریپت (JSE) به نام “Themes.jse” را در سیستم قربانی رها (Drop) کند. بدافزار JSE نیز به نوبه خود با یک URL تحت کنترل مهاجم تماس گرفته و پاسخ دریافتی از سرور را از طریق پاورشل اجرا می‌ کند. ماهیت دقیق این محموله نهایی در حال حاضر ناشناخته است، اما احتمالا شامل ابزارهای جاسوسی بیشتری است.

علاوه بر این، مشاهده شده است که گروه تی اِی ۴۰۶ با ارسال پیام‌ های هشدار امنیتی جعلی مایکروسافت به نهادهای دولتی اوکراین از طریق حساب ‌های پروتون میل (ProtonMail)، تلاش کرده است تا اطلاعات اعتباری آن ها را به سرقت ببرد. این پیام‌ ها به کاربران درباره فعالیت مشکوک ورود به حساب از آدرس ‌های آی پی واقع در ایالات متحده هشدار داده و از آن ها می ‌خواهند با مراجعه به یک پیوند، ورود به سیستم را تأیید کنند. این روش کلاسیک فیشینگ برای سرقت نام کاربری و رمز عبور است.

اگرچه صفحه برداشت اعتبار (Credential Harvesting Page) بازیابی نشده است، گفته می ‌شود که همان دامنه آسیب ‌دیده در گذشته برای جمع ‌آوری اطلاعات ورود به سیستم حساب های نِیور (Naver)، یک پلتفرم محبوب کره ای، نیز استفاده شده است.

پروف پوینت اعلام کرد: «این کارزارهای برداشت اعتبار، پیش از استقرار بدافزارها صورت گرفته و برخی از همان کاربرانی را هدف قرار داده ‌اند که بعداً با کارزار توزیع فایل HTML هدف قرار گرفتند. تی اِی ۴۰۶ به احتمال بسیار زیاد در حال جمع ‌آوری اطلاعات برای کمک به رهبری کره شمالی جهت تعیین ریسک فعلی برای نیروهای خود که از قبل در منطقه حضور دارند، و همچنین ارزیابی احتمال درخواست نیرو یا تسلیحات بیشتر از سوی روسیه است.»

«برخلاف گروه ‌های روسی که احتمالاً وظیفه جمع ‌آوری اطلاعات تاکتیکی میدان نبرد و هدف قرار دادن نیروهای اوکراینی در محل را بر عهده دارند، تی اِی ۴۰۶ معمولاً بر تلاش‌ های جمع ‌آوری اطلاعات استراتژیک و سیاسی متمرکز بوده است.»

زنجیره حمله کیمسوکی با هدف قرار دادن کره جنوبی

این افشاگری در حالی صورت می ‌گیرد که گروه کُنی به یک کارزار بدافزاری چند مرحله ‌ای پیچیده مرتبط شده است که نهاد هایی را در کره جنوبی با آرشیو های ZIP حاوی فایل ‌های LNK هدف قرار داده است. این فایل ها اسکریپت ‌های پاورشل را اجرا می ‌کنند تا یک آرشیو CAB را استخراج کرده و در نهایت بدافزار اسکریپت دسته ای (Batch Script) را تحویل دهند که قادر به جمع ‌آوری داده‌ های حساس و ارسال آن به یک سرور از راه دور است.

این یافته ‌ها همچنین با کارزارهای نیزه فیشینگ (Spear-phishing) هماهنگ است که توسط گروه کیمسوکی برای هدف قرار دادن سازمان ‌های دولتی در کره جنوبی با ارائه یک بدافزار سرقت کننده اطلاعات (Stealer) انجام شده است. این بدافزار قادر به برقراری ارتباطات فرمان و کنترل (C2 یا C&C) و سرقت فایل ‌ها، داده ‌های مرورگر وب و اطلاعات کیف پول ارزهای دیجیتال است.

زنجیره حمله کیمسوکی با تحویل بدافزار پبل دش (PEBBLEDASH)

به گفته شرکت امنیت سایبری کره جنوبی، آن لب (AhnLab)، مشاهده شده است که کیمسوکی بدافزار پبل دش را نیز به عنوان بخشی از یک توالی آلودگی چند مرحله ‌ای که از طریق نیزه فیشینگ آغاز می ‌شود، منتشر کرده است. این تروجان در ماه مه ۲۰۲۰ توسط دولت ایالات متحده به گروه لازاروس (Lazarus Group)، یکی دیگر از گروه های هکری مطرح کره شمالی، نسبت داده شده بود.

آن لب اعلام کرد: «در حالی که گروه کیمسوکی از انواع مختلفی از بدافزارها استفاده می ‌کند، در مورد پبل دش، آن ها بدافزار را بر اساس یک فایل LNK از طریق نیزه فیشینگ در مرحله دسترسی اولیه برای آغاز حملات خود اجرا می ‌کنند. سپس از یک اسکریپت پاورشل برای ایجاد یک وظیفه زمان ‌بندی شده (Task Scheduler) و ثبت آن برای اجرای خودکار استفاده می ‌کنند. این گروه از طریق ارتباط با یک سرور فرمان و کنترل مبتنی بر دراپ باکس (Dropbox) و سوکت تی سی پی (TCP)، چندین بدافزار و ابزار از جمله پبل دش را نصب می ‌کند.»

کُنی و کیمسوکی تنها بازیگران تهدیدگر کره شمالی نیستند که بر سئول تمرکز دارند. به تازگی در مارس ۲۰۲۵، نهادهای کره جنوبی هدف کارزار دیگری قرار گرفته ‌اند که توسط گروه اِی پی تی ۳۷ (APT37)، که با نام اِسکارکرافت (ScarCruft) نیز شناخته می ‌شود، انجام شده است.

این حملات نیزه فیشینگ که «عملیات داستان جعبه اسباب ‌بازی» (Operation ToyBox Story) نام گرفته است، چندین فعال متمرکز بر مسائل کره شمالی را هدف قرار داده است. اولین حمله نیزه فیشینگ مشاهده شده در ۸ مارس ۲۰۲۵ رخ داده است.

شرکت کره جنوبی، جنیانس سکیوریتی سنتر (GSC)، اعلام کرد: «ایمیل حاوی پیوندی به دراپ باکس بود که به یک آرشیو فشرده شامل یک فایل میانبر (LNK) مخرب منتهی می ‌شد. هنگامی که این فایل استخراج و اجرا می ‌شد، فایل LNK بدافزار اضافی حاوی کلمه کلیدی ‘toy’ (اسباب بازی) را فعال می‌ کرد.» این نشان می دهد که گروه های مختلف کره شمالی از تاکتیک های مشابهی مانند استفاده از فایل های LNK و سرویس های ابری برای توزیع بدافزار استفاده می کنند.