غوغل تكشف حيلة كورية شمالية لنشر برمجيات ضارة لمستخدمين في جارتها الجنوبية

أوضح تقرير جديد لشركة غوغل تفاصيل قيام قراصنة كوريين شماليين باستهداف مستخدمين في كوريا الجنوبية نهاية شهر تشرين الأول/ أكتوبر

وأكدت مجموعة تحليل التهديدات التابعة لشركة غوغل  أن الهجوم استهدف المستخدمين الكوريين الجنوبيين من خلال تضمين برامج ضارة في المستندات التي تشير إلى مأساة حادثة التدافع إتايوان الأخيرة في العاصمة سيول، وذلك من خلال متصفح إنترنت إكسبلورر Internet Explorer التابع لشركة مايكروسوفت.

وكانت شركة مايكروسوفت قد أوقفت رسميًا متصفح إنترنت إكسبلورر في شهر حزيران/ يونيو الماضي واستبدلت به منذئذ متصفحها الجديد إيدج Edge.

ومع ذلك، فقد أوضح التحليل الفني لمجموعة تحليل التهديدات أن حزمة التطبيقات المكتبية أوفيس Office لا تزال تستخدم محرك إنترنت إكسبلورر لتنفيذ أكواد جافاسكريبت JavaScript، الأمر الذي يسمح بتنفيذ الهجوم.

وتؤثر الثغرة في أنظمة ويندوز من الإصدار 7 إلى الإصدار 11، بالإضافة إلى أنظمة ويندوز سيرفر من الإصدار 2008 إلى الإصدار 2022، التي لم تثبت التحديثات الأمنية التي أُطلقت في شهر تشرين الثاني/ نوفمبر الماضي.

وقالت مجموعة تحليل التهديدات التابعة لشركة غوغل إنها علمت بالثغرة الأمنية حينما حُمِّلت مستندات أوفيس خبيثة بعنوان: 221031 Seoul Yongsan Itaewon accident response situation (06:00).docx، إلى أداة فحص الفيروسات VirusTotal التابعة لها في 31 تشرين الأول/ أكتوبر 2022.

واستفادت المستندات من الدعاية الواسعة النطاق للمأساة التي وقعت في إتايوان في 29 تشرين الأول/ أكتوبر، حيث فقد 151 شخصًا حياتهم بعد تدافع حشد من الناس خلال احتفال بعيد الهالوين في سيول.

واستغل المستند ثغرة أمنية في إنترنت إكسبلورر عُثر عليها في محرك جافاسكريبت jscript9.dll الموجود في المتصفح، والذي يُمكِن استخدامه لتقديم برامج ضارة أو تعليمات برمجية ضارة حين عرض موقع ويب يتحكم فيه المهاجم.

وتعزو مجموعة تحليل التهديدات الهجوم إلى مجموعة من الجهات الفاعلة المدعومة من الحكومة في كوريا الشمالية والمعروفة باسم APT37، التي استخدمت سابقًا ثغرات مكشوفة في متصفح إنترنت إكسبلورر في هجمات مستهدفة ضد الكوريين الشماليين المنشقين وصانعي السياسات، والصحفيين، ونشطاء حقوق الإنسان، بالإضافة إلى مستخدمي إنترنت إكسبلورر في كوريا الجنوبية على العموم.

ومع أن مجموعة تحليل التهديدات لم تتعرف على البرامج الضارة التي استُخدمت في هذه الحملة، إلا أنها لاحظت سابقًا APT37 وهي تستخدم ثغرات مماثلة لتثبيت برامج ضارة، مثل: Rokrat، و Bluelight، و Dolphin.

وفي الحملة الجديدة، أُبلغت مايكروسوفت بالثغرة الأمنية في غضون ساعات من اكتشافها في 31 تشرين الأول/ أكتوبر الماضي، وتم تصحيحها في 8 تشرين الثاني/ نوفمبر الماضي.