أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
نشرت مجموعة لازاروس الكورية الشمالية حصان طروادة RemotePE بدون ملفات، مستهدفة العملات المشفرة والبنوك
- قامت مجموعة لازاروس بنشر RemotePE، وهو حصانdent مقيم بالكامل في الذاكرة يصعب للغاية على برامج مكافحة الفيروسات التقليدية وأدوات الطب الشرعي اكتشافه.
- يستهدف البرنامج الخبيث على وجه التحديد البنوك، ومنصات تداول العملات المشفرة، وشركات التكنولوجيا المالية من خلال الهندسة الاجتماعية.
- تستفيد تقنية RemotePE من تقنية تفريغ العمليات، وفحوصات مكافحة التحليل، واتصال C2 المشفر.
اكتشف محللو الأمن السيبراني حصان طروادة جديد للوصول عن بُعد (RAT) بدون ملفات، يُدعى RemotePE. ويستخدمه مجموعة لازاروس، وهي مجموعة إجرامية إلكترونية يُعتقد أنها مرتبطة بكوريا الشمالية، لاستهداف البنوك وشركات العملات المشفرة.
وفقًا لتحليل حديث، يعمل هذا البرنامج الخبيث بالكامل في الذاكرة، مما يجعل من المستحيل تقريبًا ترك أي آثار على أنظمة الكمبيوتر المصابة.
تعتمد مجموعة لازاروس على الهندسة الاجتماعية للاحتيال على المستثمرين
عملية مجموعة لازاروس الاختراق باستخدام أساليب الهندسة الاجتماعية. انتحل أفرادها صفة موظفين في شركات تجارية عبر تطبيق تيليجرام. وللقيام بذلك، استخدموا نسخًا مزيفة من تطبيقي كاليندلي وبيك تايم، وهما تطبيقان شائعان لتنظيم الاجتماعات.
بعد الحصول على الموافقة على الاجتماع، تستمر سلسلة الأحداث حتى يتم تثبيت أول برنامج خبيث. تُمكّن هذه الطريقة، التي تُشرك العنصر البشري، مُشغّلي لازاروس من تطوير طُعم فعّال.
يعمل هذا البرنامج الخبيث عبر سلسلة من ثلاث مراحل مُنسقة جيدًا تهدف إلى تقليل عمليات القرص. أولها DPAPILoader، وهي مكتبة ارتباط ديناميكي (DLL)، تُعرف أيضًا باسم ملفها Iassvc.dll منذ نوفمبر 2023.
يستخدم البرنامج واجهة برمجة تطبيقات حماية البيانات الخاصة بنظام التشغيل Windows (DPAPI) لفك تشفير حمولة مخزنة على القرص.
ثم يتم تمرير الحمولة التي تم فك تشفيرها إلى RemotePELoader، الذي يقوم بإنشاء اتصال HTTP مع خادم التحكم والسيطرة على aes-secure[.]net. بعد ذلك، يقوم بتنزيل وتشغيل المرحلة الأخيرة من RemotePE في الذاكرة.
لتجاوز حلول EDR، يستخدم RemotePELoader تقنيات Hell's Gate و ETW Patching لتجنب الكشف.
وأخيرًا، لا تتصل حمولة RemotePE RAT الرئيسية بنظام الملفات مطلقًا، مما يحافظ على مستوى منخفض من إمكانية رصدها من قِبل الأدلة الجنائية الرقمية طوال سلسلة الهجوم. وقد تم اكتشاف هذا البرنامج الخبيث لأول مرة في سبتمبر 2025.
فيdentالمبلغ عنها، تعرضت البنية التحتية لشركة تمويل لامركزي (DeFi) للاختراق من قبل ثلاثة برامج تجسس مختلفة - RemotePE و PondRAT و ThemeForestRAT - والتي حلت محل بعضها البعض في النهاية.
تتحول التكنولوجيا المتقدمة والذكاء الاصطناعي إلى أسوأ كابوس للمتداولين
في السابق، لجأ مستثمرو العملات المشفرة إلى الذكاء الاصطناعي والتكنولوجيا لتبسيط عمليات التداول. أما الآن، فقد وقعت هذه الأدوات نفسها في أيدي المخترقين، مما تسبب لهم بخسائر مالية فادحة.
إنّ استخدام تقنيات مثل التشفير البيئي عبر واجهة برمجة تطبيقات DPAPI، والتنفيذ في الذاكرة فقط، وتصحيح ETW، وتقنية Hell's Gate، تجعل من المستحيل تقريبًا اكتشاف RemotePE بالطرق التقليدية. وقد لاحظ محللون في Fox-IT، التابعة لمجموعة NCC، أن هذه الخصائص تشير إلى أن البرمجية الخبيثة مصممة للاستمرار على المدى الطويل لإجراء عمليات استطلاع قبل شنّ هجوم، على عكس هجمات البرمجيات الخبيثة التخريبية التقليدية.
لقد سرقت مجموعة لازاروس بالفعل حوالي 577 مليون دولار من العملات المشفرة في الأشهر الأربعة الأولى من عام 2026. وهذا يمثل 76٪ من جميع سرقات العملات المشفرة في جميع أنحاء العالماختراق رئيسيتين فقطdent، وفقًا لشركة تحليلات البلوك تشين TRM Labs.
ارتفعت نسبة عمليات اختراق العملات الرقمية المنسوبة إلى كوريا الشمالية بشكل حاد، من أرقام أحادية في السنوات السابقة إلى 64% في عام 2025 و76% في عام 2026. وبلغت قيمة الأموال المسروقة رقماً قياسياً قدره 6 مليارات دولار منذ عام 2017. ويُزعم أن هذه الأموال تُستخدم لتمويل برامج تطوير الأسلحة والأسلحة النووية في البلاد في ظل العقوبات المفروضة عليها.
يلجأ المتسللون إلى الذكاء الاصطناعي لزعزعة استقرار المطورين الذين يقفون وراء كيانات التكنولوجيا الكبرى
اكتشف خبراء الأمن السيبراني هجومًا واسع النطاق استهدف فيه قراصنة أكثر من 700 موقع إلكتروني يستخدم نظام إدارة المحتوى Ghost، مستغلين ثغرة أمنية خطيرة في نظام حقن SQL. وقد مكّنت هذه الهجمات الإلكترونية المهاجمين من الوصول إلى أسماء المستخدمين وكلمات المرور لحسابات المسؤولين، مما سمح لهم بحقن برامج ضارة عبر عمليات إعادة توجيه JavaScript في قنوات توزيع ClickFix الخاصة بهم.
تشمل المنصات المستهدفة المؤسسات الأكاديمية، ومساعي الذكاء الاصطناعي، البلوك تشين ، وموردي البرامج كخدمة، ومصادر أبحاث الأمن السيبراني، ووكالات الأنباء، وشركات التكنولوجيا المالية.
يُطلب من الضحايا الذين يواجهون اختبار CAPTCHA المزيف إدخال سلسلة مشفرة بنظام Base64 في مربع حوار التشغيل. في هذه الخطوة، يمكنهم تنزيل ملف ZIP يحتوي على برنامج نصي دفعي. يقوم هذا البرنامج النصي بتشغيل أمر PowerShell لجلب إما ملف DLL موقّع أو ملفات JavaScript من خادم بعيد.
كانت الإصدارات السابقة من البرمجية الخبيثة تُشغّل مكتبة DLL باستخدام rundll32.exe. أما الإصدارات الحديثة، فتُثبّت مُثبّت Inno Setup لإصدار مفتوح المصدر من تطبيقtron يُسمى Grape. بعد التثبيت، تُصبح البرمجية الخبيثة مُستمرة في العمل، وتُجري استطلاعًا دوريًا لنطاق C2 المسمى web-telegram[.]ug كل 30 ثانية.
أذكى العقول في عالم العملات الرقمية يتابعون نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم؟ انضم إليهم.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
فلورنس موتشاي
تُغطي فلورنس أخبار العملات الرقمية، والألعاب، والتكنولوجيا، والذكاء الاصطناعي منذ ست سنوات. وقد زودتها دراستها لعلوم الحاسوب في جامعة ميرو للعلوم والتكنولوجيا، بالإضافة إلى دراستها لإدارة الكوارث والدبلوماسية الدولية في الجامعة نفسها، بمهارات لغوية وملاحظة وتقنية عالية. عملت فلورنس في مجموعة VAP، كما عملت كمحررة في العديد من المؤسسات الإعلامية المتخصصة في العملات الرقمية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)