Lazarus تستهدف منصات الكريبتو ببرمجية RemotePE الخبيثة بالذاكرة
"مجموعة Lazarus تشن هجمات متطورة ضد منصات الكريبتو باستخدام برمجية RemotePE التي تعمل داخل الذاكرة فقط لتفادي الرصد، مما يفرض تحديات أمنية جديدة على القطاع المالي."
مقدمة تحليلية
تواجه المؤسسات المالية ومنصات تداول الأصول الرقمية موجة جديدة ومتصاعدة من الهجمات السيبرانية شديدة التعقيد، حيث كشفت التقارير الأمنية الأخيرة عن نشاط مكثف ومستمر لمجموعة التهديد المتقدمة المعروفة باسم Lazarus. وتأتي هذه الحملة لتسلط الضوء على تهديد تقني متمثل في نشر برمجية خبيثة متطورة تُعرف باسم RemotePE، وهي أداة وصول عشوائي (RAT) تعمل بالكامل داخل ذاكرة النظام النشطة دون ترك أي أثر ملموس على الأقراص الصلبة للمخترقين. هذا الأسلوب غير التقليدي يمثل تحدياً هائلاً وبنيوياً لأنظمة الدفاع التقليدية التي تعتمد بشكل شبه كامل على مسح الملفات المادية للتعرف على التوقيعات الرقمية للبرمجيات الضارة.
إن توجيه الهجمات صوب قطاع التكنولوجيا المالية وسوق الكريبتو والعملات المشفرة ليس مجرد صدفة عابرة، بل يمثل حلقة جديدة في سلسلة الاستراتيجية المنهجية التي تتبعها هذه المجموعة المتقدمة لتحقيق مكاسب مالية فورية ومباشرة. ومع ذلك، وعلى الرغم من خطورة هذا الاختراق وأهميته الاستراتيجية، فإن التفاصيل الحساسة للغاية والمتعلقة بأسماء الضحايا المحددين، أو الأضرار الفعلية، أو القيمة المالية الإجمالية للأصول الرقمية التي تم الاستيلاء عليها أو تعريضها للخطر هي حالياً بيانات غير متوفرة في التقرير الأمني الصادر، وهو ما يدفع بالخبراء والباحثين الأمنيين إلى افتراض أسوأ السيناريوهات الممكنة واتخاذ تدابير حماية استباقية بالغة الصرامة.
يتطلب هذا النوع من التهديدات المتخفية فهماً دقيقاً لكيفية إدارة الذاكرة العشوائية (RAM) في نظم التشغيل الحديثة، وكيفية استغلال العمليات الشرعية للنظام لإخفاء الكود البرمجي الخبيث. وفي هذا التحليل، سنقوم في Glitch4Techs بتفكيك الآليات التقنية التي تستخدمها برمجية RemotePE، والوقوف على أبعاد هذه الحملة وآثارها العميقة على الأسواق وحماية الأصول.
التحليل التقني
تعتمد برمجية RemotePE بشكل كلي على تقنية التشغيل في الذاكرة فقط (In-Memory execution)، وهي آلية دفاعية عكسية متطورة تتجنب كتابة أي ملفات تنفيذية على القرص الصلب لتفادي رصدها بواسطة برامج مكافحة الفيروسات التقليدية (AV) وحلول الكشف والاستجابة لنقاط النهاية (EDR). بدلاً من تحميل الملفات بالطريقة التقليدية، يتم حقن الكود الخبيث مباشرة في الذاكرة المخصصة لعمليات نظام تشغيل ويندوز المشروعة عبر استخدام واجهات برمجة تطبيقات متخصصة مثل VirtualAllocEx و WriteProcessMemory لتخصيص مساحات ذاكرة غير خاضعة للرقابة المستمرة.
نظراً لعدم إتاحة الكود البرمجي التفصيلي للعامة في الوقت الحالي، فإن العديد من المؤشرات الفنية والتقنية الخاصة بهذه الحملة تظل طي الكتمان، وتعتبر تفاصيلها التالية بيانات غير متوفرة:
- ثغرات النظام المستغلة (CVEs): بيانات غير متوفرة، ولا تتوفر معلومات حول ثغرات يوم الصفر التي قد تكون استخدمت في المراحل الأولى للتسلل.
- إصدارات الأنظمة المتأثرة بدقة: بيانات غير متوفرة، على الرغم من ترجيح استهداف بيئات العمل المعتمدة على نظام ويندوز بشكل رئيسي.
- عناوين خوادم التحكم والسيطرة (C2): بيانات غير متوفرة بشكل تفصيلي في التحليل المنشور لمنع استغلالها بشكل عكسي أو لحماية التحقيقات الجارية.
- ناقل الاختراق الأولي (Initial Infection Vector): بيانات غير متوفرة، وتُشير التقديرات التاريخية إلى الاعتماد على الهندسة الاجتماعية والتصيد الاحتيالي الموجه عبر منصات التواصل المهنية.
بعد إتمام عملية الحقن بنجاح داخل الذاكرة، تبدأ RemotePE في تهيئة قنوات اتصال آمنة ومشفرة للربط مع خوادم التحكم والسيطرة (C2) لتلقي وتنفيذ الأوامر عن بعد. تشمل الإمكانات القياسية لهذه الفئة من برمجيات RAT تجميع معلومات مفصلة عن بيئة النظام المخترق، وتنزيل حمولات برمجية إضافية، وتجاوز الصلاحيات الأمنية، والقدرة على سرقة المحافظ الرقمية الساخنة وتعديل سجلات المعاملات. إن غياب الأثر مادي للبرمجية يجعل عمليات التحليل الجنائي الرقمي (Digital Forensics) التقليدية غير مجدية، ويتطلب فحصاً حياً ومستمراً للذاكرة العشوائية ومراقبة سلوك المعالج.
السياق وتأثير السوق
تُصنف مجموعة Lazarus كواحدة من أكثر الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) جرأة ومهارة على الساحة الدولية. وقد ارتبط اسم المجموعة تاريخياً بعمليات اختراق بالغة التأثير تسببت في خسائر بمليارات الدولارات لقطاع التمويل اللامركزي (DeFi) والمنصات المصرفية التقليدية في مختلف أنحاء العالم. يمثل ظهور RemotePE كأداة هجومية مخصصة استمراراً لتطور ترسانة المجموعة الهجومية وقدرتها الكبيرة على التكيف مع التحديثات الأمنية المعاصرة.
تأثير هذه الهجمات على بيئة المال الرقمية يتعدى الخسائر النقدية الفورية؛ فهو يضرب في الصميم موثوقية النظم الأمنية المعتمدة لدى منصات التداول ومحافظ العملات المشفرة. إن الفترات الطويلة التي تقضيها هذه البرمجيات داخل الشبكات دون كشف (ما يعرف بـ Dwell Time) تمنح المهاجمين الفرصة الكاملة لدراسة تدفقات السيولة وتحديد الثغرات الإجرائية وتوقيت الهجمات الكبرى لتحقيق أقصى درجات الضرر والاستفادة المالية، مما يرفع بدوره تكلفة التأمين السيبراني ويفرض معايير تنظيمية أكثر تعقيداً على الشركات الناشئة في القطاع.
رؤية Glitch4Techs
إننا في Glitch4Techs نرى أن اعتماد المجموعات التخريبية مثل Lazarus على برمجيات تعمل في الذاكرة فقط مثل RemotePE يمثل تحولاً جوهرياً يعلن انتهاء صلاحية أساليب الدفاع الساكنة والقائمة على التوقيعات (Signature-based Defense). لم يعد فحص الملفات المخزنة كافياً على الإطلاق لضمان سلامة النظم المالية المعقدة التي تدير مليارات الدولارات من الأصول المشفرة.
يتعين على المؤسسات المالية ومنصات الكريبتو الانتقال الفوري وبلا تباطؤ نحو تطبيق نموذج الأمن صفري الثقة (Zero Trust Architecture)، وتفعيل حلول الكشف والاستجابة المتقدمة لنقاط النهاية (EDR) التي تدعم المراقبة المستمرة لسلوك العمليات النشطة وتحليل شذوذ استدعاءات الذاكرة في الوقت الحقيقي. كما يجب التركيز على كشف الهجمات من خلال تحليل حركة الشبكة (NDR) للتعرف على اتصالات C2 الخفية. إن عدم توفر تفاصيل مثل الرموز البرمجية والمؤشرات الفنية الكاملة، والتي تعد حالياً بيانات غير متوفرة، لا يجب أن يؤخذ كذريعة للانتظار، بل يجب أن يكون محفزاً للبدء الفوري في صيد التهديدات (Threat Hunting) داخل الشبكات والافتراض المسبق بأن الأنظمة قد تكون عرضة للاختراق بالفعل في أي لحظة.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.