هکرهای تحت حمایت دولت کره شمالی از گروه بدنام Kimsuky، در بازه مارس تا آوریل ۲۰۲۵، کمپینی پیچیده و چندسکویی را با هدف کاربران فیسبوک، ایمیل و تلگرام آغاز کردهاند.
این عملیات پیشرفته با نام “Triple Combo” (ترکیب سهگانه) شناخته میشود و نشاندهندهی اوجگیری قابلتوجهی در تاکتیکهای مهندسی اجتماعی این گروه است. در این کمپین، از استراتژی ارتباطی سهمرحلهای استفاده شده تا اعتماد اهداف خاص بهویژه فعالان دفاعی کرهجنوبی و فعالان حامی فراریان کرهشمالی جلب و در نهایت سیستم آنها آلوده شود.
مهاجمان از حسابهای فیسبوک هکشده، ایمیلهای شخصیسازیشده و پیامرسان تلگرام بهصورت هماهنگ برای انتقال بدافزار استفاده کردهاند.
این کمپین کاربران درگیر در فعالیتهای حمایتی از فراریان کره شمالی را هدف قرار داده و از طعمههایی با موضوع کار داوطلبانه و کمکهای بشردوستانه برای کاهش شک و ترغیب آنها به تعامل با فایلهای مخرب بهره برده است.
وابستگی این حمله به عملیات AppleSeed
تحلیلگران مرکز امنیتی Genians این حمله را بخشی از عملیات بزرگتر “AppleSeed” دانستهاند؛ عملیاتی که نخستین بار در کنفرانسهای VB سالهای ۲۰۱۹ و ۲۰۲۱ افشا شد.
بر اساس یافتهها، مهاجمان از فرمتهای فشرده مختص کره و تکنیکهای رمزگذاری پیشرفته استفاده کردهاند که برای دور زدن راهکارهای امنیتی متداول طراحی شدهاند و تضمین میکنند که تنها در محیط ویندوز (و نه موبایل) اجرا شوند.
تاکتیکهای این گروه نشاندهنده سطح بالایی از امنیت عملیاتی و تحقیق درباره اهداف است. آنها ابتدا از طریق حسابهای فیسبوک که خود را به عنوان مبلغان مذهبی یا پژوهشگران دانشگاهی معرفی میکردند، ارتباط برقرار میکردند. سپس با درخواست ایمیل، ارتباط را به سطح دوم منتقل میکردند.
در مرحله سوم، ارتباطات به تلگرام منتقل میشد و تلاشها برای جلب اعتماد و اجرای حمله نهایی با اصرار دنبال میشد.
.webp)
بدافزار و روش آلودگی: تحلیل فنی Triple Combo
در قلب این حمله، فایلی با فرمت JScript Encoded (JSE) قرار دارد که با نام فریبندهای با موضوع “فعالیت داوطلبانه برای فراریان کره شمالی” توزیع میشود.
نام فایل: 탈북민지원봉사활동.jse (به معنای: حمایت داوطلبانه از فراریان کره شمالی)
این فایل از مکانیزمی دو مرحلهای برای اجرا استفاده میکند:
-
اول: تولید فایل PDF جعلی در مسیر
C:\ProgramData\탈북민지원봉사활동.pdfبا استفاده از شیءMicrosoft.XMLDOMکه بلافاصله باز میشود تا توجه قربانی را پرت کند. -
دوم: رمزگشایی دوبل Base64 از دادههای درون فایل با PowerShell و اجرای ابزار
certutilبرای تولید DLL مخرب با نامC:\ProgramData\vmZMXSx.eNwm.
این فایل DLL با فناوری محافظتی VMProtect محافظت میشود که مهندسی معکوس آن را بسیار دشوار میسازد.
برای اجرای این فایل از دستور زیر استفاده میشود:
اگر پارامتر ورودی به درستی ارائه نشود (عدم تطابق با tgvyh!@#12)، بدافزار یک فایل batch برای حذف خود تولید میکند؛ نشانهای از تدابیر شدید امنیت عملیاتی.
.webp)
مکانیسم پایداری و دسترسی از راه دور (RAT)
برای اجرای مجدد بدافزار پس از ریبوت، یک ورودی در رجیستری مسیر زیر ثبت میشود:
ساختار دایرکتوری زیر ایجاد میشود:
در این مسیر، فایل tripservice.dll قرار میگیرد که یک RAT (تروجان دسترسی از راه دور) است و با استفاده از ترکیبی از رمزگذاری RC4 و RSA با سرور فرمان و کنترل woana.n-e.kr ارتباط برقرار میکند.
اطلاعات جمعآوریشده ابتدا فشردهسازی ZIP شده، سپس با کلید RC4 رمزگذاری میشوند.
کلید RC4 نیز با کلید عمومی RSA 1024 بیت رمزگذاری شده و منتقل میگردد.
برای استتار بیشتر، فایل ارسالی بهصورت فایل PDF جعلی ارائه شده و از تکنیک XOR به همراه کلیدهای تولیدشده توسط تابع GetTickCount ویندوز برای رمزگذاری نهایی استفاده میشود.
.webp)
این عملیات نمایانگر سطح بالایی از مهندسی اجتماعی، رمزگذاری، و امنیت عملیاتی است و نشان میدهد که گروه Kimsuky همچنان یکی از پیشرفتهترین تهدیدات سایبری تحت حمایت دولت در جهان است.
یک نظر