قراصنة كوريا الشمالية يخترقون أجهزة الصراف الآلي الهندية ببرامج ضارة جديدة
قام قراصنة مرتبطون بحكومة كوريا الشمالية بتطوير نوع جديد من البرامج الضارة التي تم استخدامها لتسجيل وسرقة البيانات المدرجة في البطاقات من أجهزة الصراف الآلي الهندية.
وقال باحثون في كاسبرسكي لاب في تقرير صدر أمس، إن البرمجيات الخبيثة المصرفية، المعروفة باسم ATMDTrack، كانت نشطة في البلاد منذ أواخر الصيف.
أجرت شركة أمن الشبكات في موسكو مزيدًا من التحليل لعينات البرامج الضارة ووجدت أنها جزء من حصان طروادة أكبر للوصول عن بعد (RAT) يسمى DTrack.
يقول الخبراء إن هذه أداة تجسس تهاجم المؤسسات المالية ومراكز الأبحاث الهندية، قائلين إن سلالة البرامج الضارة "تشبه أنشطة DarkSeoul، التي يعود تاريخها إلى عام 2013، بسبب مجموعة Lazarus".
وقال الباحثون إن DTrack RAT تم اكتشافه لأول مرة هذا الشهر فقط.
ويستهدف هجوم DarkSeoul المنشآت رفيعة المستوى في كوريا، بما في ذلك إزالة العديد من محركات الأقراص الصلبة للكمبيوتر المرتبطة بالبنوك وشركات البث التلفزيوني والعديد من الشركات المالية في عام 2013.
تم اعتبار هذا الحدث في النهاية من عمل مجموعة Lazarus Group، وهي مجموعة رائدة في مجال قرصنة العملات المشفرة والمعروفة بعلاقتها مع حكومة كوريا الشمالية.
واشتهرت المنظمة الأسبوع الماضي بهجماتها السيئة السمعة على البنية التحتية الحيوية ومصادرة الشركات التي مولت برامج الأسلحة والصواريخ في البلاد، وكانت من بين أعلى قوائم العقوبات الأمريكية.
جمع سجلات المفاتيح وسجل المتصفح يقوم ممثل التهديد الذي يقف وراء DTrack بخلط التعليمات البرمجية الضارة الخاصة به في ملف قابل للتنفيذ غير ضار ومحمي خلف حاجز التشفير الخاص بالقطارة المستخدمة لتثبيت البرامج الضارة.
بالإضافة إلى إخفاء نفسك كعملية غير ضارة، يمكن للبرامج الضارة تنفيذ العديد من العمليات:
- كلوغر
- استرجاع سجل المتصفح
- جمع عناوين IP المضيفة ومعلومات حول الشبكات المتاحة والاتصالات النشطة
- قائمة بجميع العمليات الجارية
- قم بإدراج كافة الملفات الموجودة على كافة وحدات تخزين الأقراص المتوفرة
يتم بعد ذلك أرشفة البيانات المجمعة كملف محمي بكلمة مرور يمكن حفظه على القرص أو إرساله إلى خادم الأوامر والتحكم.
وقد صنف الباحثون ATMDTrack كمجموعة فرعية من عائلة DTrack، قائلين إن المطورين الذين يقفون وراء البرنامجين الضارين هم "نفس المجموعة".
نظرًا لتعقيد طريقة التشغيل، فمن المستحسن أن تقوم المنظمة المستهدفة بتعزيز سياسات الشبكة وكلمة المرور الخاصة بها ومراقبة حركة مرور الشبكة بحثًا عن السلوك المشبوه.
وخلص كاسبرسكي إلى أن "العدد الكبير من عينات DTrack التي يمكننا العثور عليها يشير إلى أن مجموعة Lazarus هي واحدة من أكثر مجموعات APT نشاطًا لتطوير البرامج الضارة". “ومرة أخرى، رأينا الفريق يستخدم أدوات مماثلة لشن هجمات ذات دوافع اقتصادية وهجمات تجسس محضة