كاسبرسكي ترصد حملة سيبرانية معقدة تهدد سلاسل التوريد في كوريا الجنوبية

كشفت شركة كاسبرسكي، من خلال فريق البحث والتحليل العالمي (GReAT)، تفاصيل حملة اختراق سيبراني معقدة أطلقت عليها اسم "Operation SyncHole"، وشنّتها مجموعة لازاروس المعروفة عالميًا، حيث استهدفت هذه الحملة سلاسل التوريد الرقمية والمؤسسات الحيوية في كوريا الجنوبية، في هجوم وُصف بأنه من أكثر الهجمات تعقيدًا التي تم رصدها خلال الفترة الأخيرة.

تكتيكات متعددة

واستخدمت الحملة الهجومية مزيجًا من الأساليب التقنية عالية التطور، شملت تقنيات "Watering Hole"، التي تقوم على استهداف مواقع إلكترونية شائعة بين الضحايا، واستغلال ثغرات برمجية في برامج مستخدمة على نطاق واسع في بيئات العمل المحلية، وبرز من بينها برنامج "Innorix Agent"، المستخدم في نقل الملفات داخل الأنظمة المالية والإدارية، مما أتاح للمهاجمين تسللًا سهلًا إلى البنية التحتية الرقمية للمؤسسات المستهدفة.

ثغرة خطيرة

وتمكنت كاسبرسكي من اكتشاف ثغرة يوم الصفر في برنامج Innorix، وهو اكتشاف بالغ الأهمية نظرًا لخطورة هذه النوعية من الثغرات، إذ لا تكون معروفة للمطورين وقت الهجوم، ولا تتوفر لها تحديثات أمنية فورية، وبهذا تكون الأنظمة معرضة تمامًا للاستغلال من قبل القراصنة دون أي مقاومة فنية، ويمثل هذا التهديد تحديًا حقيقيًا للأمن السيبراني المؤسسي.

قطاعات مستهدفة

وأوضح تقرير كاسبرسكي أن الحملة السيبرانية أصابت ما لا يقل عن ست مؤسسات حيوية، تنتمي إلى قطاعات البرمجيات، والخدمات المالية، وأشباه الموصلات، وتكنولوجيا المعلومات، والاتصالات، مما يشير إلى اتساع نطاق العملية، ويعكس قدرة مجموعة لازاروس على التخطيط الدقيق واستهداف مفاصل الاقتصاد الرقمي.

ووفقًا لما أفاد به الباحثون، فإن عدد الجهات المتأثرة فعليًا قد يكون أكبر بكثير من العدد المعلن حتى الآن، نظرًا إلى طبيعة سلسلة العدوى التي يصعب تتبعها في بعض الأحيان.

تنفيذ احترافي

واستندت الهجمات إلى استغلال مواقع إلكترونية تم اختراقها سلفًا، وإعادة توجيه الضحايا المحتملين إلى صفحات خبيثة، ثم زرع برمجيات خبيثة مثل ThreatNeedle وLPEClient، وأداة Agamemnon المتخصصة، والتي سمحت للمهاجمين بتحميل بيانات حساسة من الأجهزة المستهدفة دون الحاجة إلى أذونات، وبهذه الطريقة استطاع القراصنة التغلغل في أنظمة المعلومات بسرّية تامة.

استجابة سريعة

وفور اكتشاف الثغرة، اتخذت كاسبرسكي خطوات سريعة، حيث أبلغت وكالة الأمن والإنترنت الكورية (KrCERT) والشركة المطورة للبرنامج المصاب، والتي بدورها أطلقت تحديثًا عاجلًا تحت الرمز (KVE-2025-0014)، بهدف سد الثغرة ومنع تكرار استغلالها، ويُعد هذا التحرك نموذجًا يُحتذى به في التعاون السريع والفعال بين الشركات الأمنية والمؤسسات الرسمية.

تحليل تقني

وتوسع فريق GReAT في التحليل الفني للحملة، حيث اكتشف أن بعض البرمجيات الخبيثة عملت داخل عمليات شرعية في النظام، مثل SyncHost.exe، التي تم تشغيلها من خلال برنامج Cross EX، وهو ما صعّب عملية الكشف عنها، كما أُشير إلى وجود نفس طريقة الهجوم في خمس مؤسسات أخرى، مما يعزز فرضية وجود اختراق واسع النطاق في سلسلة التوريد الرقمي للبرامج المعتمدة في كوريا.

تحذير واضح

وحذر خبراء كاسبرسكي من أن مثل هذه الهجمات تستغل البرمجيات المحلية غير المُحدّثة أو المخصصة لبيئات جغرافية معينة، والتي غالبًا ما تُغفل عن التحديثات الأمنية الشاملة، ما يجعلها أهدافًا سهلة للاختراق، وعبّر إيغور كوزنتسوف، مدير الفريق، عن قلقه من اتساع سطح الهجوم بسبب استخدام إضافات المتصفح من مصادر خارجية دون رقابة كافية.

استراتيجيات الحماية

ويوصي الفريق الأمني في كاسبرسكي بضرورة اعتماد مؤسسات القطاعين العام والخاص على حلول دفاعية استباقية تقوم على تحديث البرمجيات بشكل دائم، وإجراء تدقيق أمني شامل للبنية التحتية، والاستفادة من حلول مثل Kaspersky Next، التي توفر حماية شاملة باستخدام تقنيات EDR وXDR، وتتيح للمؤسسات رؤية متعمقة للتهديدات المتطورة.

معلومات استخباراتية

كما شدد الخبراء على أهمية تزويد فرق الأمن السيبراني بمعلومات استخباراتية حديثة ومتكاملة من خلال منصات مثل Kaspersky Threat Intelligence Portal، التي توفر تحليلات دقيقة وسياقًا غنيًا لفهم سلوك المهاجمين واتخاذ قرارات أمنية دقيقة في الوقت المناسب، وبهذا تتمكن المؤسسات من الاستجابة بسرعة وكفاءة لأي هجمات مستقبلية.