هجمات APT37: الباب الخلفي الجديد لـ Rust يعرض المستخدمين في كوريا الجنوبية للخطر!

هجمات APT37: الباب الخلفي الجديد لـ Rust يعرض المستخدمين في كوريا الجنوبية للخطر!

تثير موجة جديدة من الهجمات الإثارة في عالم الأمن السيبراني الديناميكي: قامت مجموعة APT الكورية الشمالية APT37، المعروفة أيضًا باسم LScarCruft أو Ruby Sleet أو Velvet Chollima، بتوسيع ترسانتها من البرامج الضارة بشكل كبير. وما يلفت الأنظار بشكل خاص هو وجود باب خلفي جديد يعتمد على لغة البرمجة Rust التي تسمى "Rustonotto"، والتي تهاجم أنظمة Windows على وجه التحديد. Security Insider قام بنشر هذه المعلومات.

تم تسجيل أنماط هجوم APT37 بشكل أساسي في كوريا الجنوبية. تستخدم هذه الهجمات اختصارات Windows الضارة أو ملفات تعليمات HTML المجمعة (CHM) كنقطة دخول. تتم جميع الأنشطة من خلال خادم قيادة وتحكم واحد، بحيث يحتفظ المهاجمون بالسيطرة على الأنظمة المتسللة. يُظهر تحليل التهديدات من ThreatLabz التابع لشركة Zscaler بوضوح أن Rustonotto نشط منذ يونيو 2025 وهو أول برنامج ضار معروف قائم على Rust من هذه المجموعة.

الوصول المفرد والتقنيات المتطورة

ولا يبدو أن الهجمات موجهة ضد شركات أو كيانات حكومية، بل تستهدف أفرادًا لهم علاقات بالنظام الكوري الشمالي أو مسائل سياسية حساسة في كوريا الجنوبية. تستخدم APT37 مجموعة من العديد من مكونات البرامج الضارة، بما في ذلك أداة المراقبة "FadeStealer"، التي لا تلتقط ضغطات المفاتيح فحسب، بل تلتقط أيضًا لقطات شاشة وتسجل البيانات الصوتية. يتم بعد ذلك ضغط هذه البيانات في أرشيفات RAR محمية بكلمة مرور ونقلها إلى خادم C2. تظهر التحليلات الأمنية أن الاختراق يحدث من خلال استخدام إجراءات مكافحة الاكتشاف مثل Transactional NTFS وProcess Doppelganging، مما يجعل اكتشاف البرامج الضارة أكثر صعوبة، كما يوضح Cyberpress.

تقوم مهمة مجدولة متخفية تحت اسم "MicrosoftUpdate" بتنفيذ حمولة Rustonotto بشكل منتظم، وبالتالي ضمان الوصول الدائم إلى الأنظمة المتأثرة. تستخدم البرمجيات الخبيثة مجموعة من تقنيات الترميز لتغطية مساراتها والتأثير على المراقبة.

APTs وأهدافها

يراقب BSI (المكتب الاتحادي لأمن المعلومات) أنشطة فرق الهجوم هذه لفترة طويلة. ويوثقون في تقاريرهم الأهداف الإستراتيجية لهذه المجموعات، والتي يمكن أن تتغير بمرور الوقت. يتميز مشهد التهديد الحالي بوجود مجموعات مهاجمة طويلة الأمد تسعى إلى تحقيق مصالح محددة، حيث تلعب APT37 دورًا مهمًا، وتهدف إلى جمع المعلومات، كما هو الحال في [BSI].

غالبًا ما يعمل المهاجمون في منطقة رمادية قانونية، مما يجعل أنشطتهم متفجرة بشكل خاص. بفضل تقنيات مثل لغات البرمجة الحديثة وطرق الحقن المتطورة، أثبتت APT37 أنها ليست تهديدًا فحسب، بل إنها أيضًا قابلة للتكيف للغاية. ولذلك يتم تشجيع الشركات والأفراد على إعادة التفكير في استراتيجيات الأمن السيبراني الخاصة بهم والتحقق بانتظام من الأنظمة الحالية بحثًا عن علامات التسوية.

إن عالم التهديدات السيبرانية زلق ومتغير باستمرار - لذا فإن مراقبة حالة الخطر لا يمكن أن تؤذي!