مايكروسوفت

قراصنة كوريا الشمالية يستغلون ثغرة في كروم لتثبيت روت كيت

استغل قراصنة كوريون شماليون ثغرة يوم الصفر في متصفح جوجل كروم (CVE-2025-7971) لنشر برنامج الجذور FudModule بعد الحصول على امتيازات النظام من خلال استغلال ثغرة في نواة ويندوز. ووصفت مايكروسوفت الاكتشاف بأنه ينطوي على مخاطر كبيرة، حيث تشير الأدلة إلى أن هذه الهجمات تم توجيهها بشكل خاص نحو قطاع العملات المشفرة، مما يعكس الأغراض المالية لجهات التهديد الكورية الشمالية.

الهجوم ووسائل التنفيذ

تعتبر ثغرة يوم الصفر في متصفح جوجل كروم من الثغرات الحادة التي استغلها قراصنة كوريون شماليون، حيث سمحت لهم بتنفيذ التعليمات البرمجية عن بُعد في عمليتهم. تم اكتشاف الثغرة حديثًا بواسطة مايكروسوفت وتم تصحيحها، لكن قراصنة العدوانية تمكنوا من استغلالها قبل ذلك. استخدم المخترقون برمجيات خبيثة، مثل برنامج FudModule rootkit، والذي أُدخل في النظام عقب نجاحهم في استغلال ثغرة نواة ويندوز (CVE-2025-38106) للتلاعب بآليات الأمان.

تشير المعلومات إلى أن المجموعة المعروفة باسم Citrine Sleet، والمعروفة سابقًا باسم DEV-0139، تستهدف بشكل رئيسي المؤسسات المالية والأفراد المرتبطين بالعملات المشفرة. وقد تمت الإشارة سابقًا إلى أن هذه المجموعة تعمل بالتنسيق مع مكتب 121 التابع لمكتب الاستطلاع العام في كوريا الشمالية.

استغلال ثغرات التقنية

من خلال استغلال ثغرات متصفح كروم، تمكن المخترقون من توجيه الضحايا إلى مواقع ويب ضارة مصممة لتبدو كمنصات تداول مشروعة. من هنا، قاموا بتنزيل تطبيقات خبيثة مدمجة مع طلبات عمل مزيفة، مما أسهم في اختراق الأجهزة والأنظمة. يشير تقرير صادر عن الحكومة الأمريكية إلى أن قراصنة الدولة الكورية الشمالية قد قاموا باستهداف هذا القطاع لعدة سنوات بواسطة برامج خبيثة مثل AppleJeus، والتي استخدمت في هجمات سابقة مماثلة.

وربما تشكل استراتيجيتهم في استخدام ثغرات أيام الصفر مثل CVE-2025-7971، جزءًا من خطة أوسع تهدف إلى تنفيذ هجمات موجهة تستهدف البنية التحتية الرقمية للكيانات المالية.

الأساليب المستخدمة لزيادة الفعالية

تمكن المهاجمون من الهروب من عمليات الحماية عن طريق استغلال الضعف في نواة ويندوز، مما منحهم وصولاً عميقًا إلى النظام. بعد نجاحهم في الهروب، قاموا بتنزيل rootkit FudModule واستخدامه للتلاعب بالنواة والتجاوز على أمان النظام. هذه الأساليب تُظهر مستوى عالٍ من التنسيق والتخطيط من قبل هذه الجهات الفاعلة.

تكمن المخاطر في أن قراصنة كوريون شماليون، مثل Citrine Sleet، يمتلكون موارد وقدرات متقدمة تسمح لهم بتنفيذ هجمات معقدة على بنية المعلومات في المؤسسات المالية. استغلوا خبراتهم في مجال القرصنة، مما يجعلهم خصومًا صعبين.

التصدي لتلك التهديدات

في ضوء هذه التهديدات، تقوم الشركات الكبرى مثل مايكروسوفت بتقديم تحديثات أمنية دورية للتصدي لأي ثغرات قد يستغلها المتسللون. ومع ذلك، تظل هناك حاجة ملحة لتوعية الأفراد والمؤسسات حول كيفية حماية أنظمتهم وتحسين بروتوكولات الأمان السيبراني لدفع المخاطر المتزايدة.

تتطلب مواجهة هذه التهديدات المتطورة التعاون بين الحكومات والقطاعات الخاصة لتعزيز أمان المعلومات. يجب أن تكون هناك استجابة فورية لتلك التهديدات، والتأكيد على أهمية التحصين والتحديث المستمر للأنظمة المستخدمة.

في النهاية، تبقى الحاجة ملحة للجهود المشتركة في تعزيز الوعي الأمني حول كيفية حماية الأنظمة من قراصنة كوريين شماليين يستغلون الثغرات؛ كـ “North Korean hackers exploit Chrome zero-day to deploy rootkit” لتعزيز الأمن السيبراني. إن الفهم العميق لتلك التهديدات وتحليل أساليبها يساهم في بناء أسس آمنة لاقتصاد رقمي مستدام.

رنا الجميلي

خبيرة تقنية متخصصة في منتجات وخدمات مايكروسوفت، تتميز بفهم عميق لأنظمة التشغيل مثل ويندوز، وبرامج أوفيس، والحلول السحابية. تعمل رنا على تقديم شروحات وتحديثات تسهل على المستخدمين الاستفادة من تقنيات مايكروسوفت بأفضل طريقة، مع التركيز على تحسين الأداء وتجربة المستخدم.
زر الذهاب إلى الأعلى
Don`t copy text!

يستخدم موقعنا ملفات تعريف الارتباط لجمع معلومات حول زيارتك بهدف تحسين موقعنا (من خلال التحليل)، وعرض محتوى وسائل التواصل الاجتماعي والإعلانات ذات الصلة. يرجى الاطلاع على صفحة سياسة الخصوصية لمزيد من التفاصيل، أو الموافقة من خلال النقر على زر "قبول".

إعدادات ملفات تعريف الارتباط  

فيما يلي يمكنك اختيار نوع ملفات تعريف الارتباط التي تسمح بها على هذا الموقع. انقر على زر "حفظ إعدادات ملفات تعريف الارتباط" لتطبيق اختيارك.

ملفات ضرورية.يستخدم موقعنا ملفات تعريف الارتباط الوظيفية. هذه الملفات ضرورية لعمل موقعنا بشكل صحيح.

تحليل.يستخدم موقعنا ملفات تعريف الارتباط التحليلية لتمكيننا من تحليل موقعنا وتحسينه لأغراض مثل تحسين تجربة المستخدم.

وسائل التواصل الاجتماعي.يضع موقعنا ملفات تعريف الارتباط الخاصة بوسائل التواصل الاجتماعي لعرض محتوى من جهات خارجية مثل يوتيوب وفيسبوك. قد تقوم هذه الملفات بتتبع بياناتك الشخصية.

إعلانات.يضع موقعنا ملفات تعريف الارتباط الإعلانية لعرض إعلانات من جهات خارجية بناءً على اهتماماتك. قد تقوم هذه الملفات بتتبع بياناتك الشخصية.

أخرى.يضع موقعنا ملفات تعريف الارتباط من جهات خارجية أخرى ليست تحليلية أو خاصة بوسائل التواصل الاجتماعي أو الإعلانات.