نشرت Mandiant مدونة تدوينة تتناول فيها بالتفصيل حملة تجسس إلكتروني قامت بها مجموعة يشتبه في ارتباطها بكوريا الشمالية، والتي تتبعها Mandiant تحت اسم UNC2970. تستهدف هذه المجموعة ضحاياها من خلال عروض عمل زائفة، متنكرة في صورة موظف توظيف لشركات بارزة.
ما لفت انتباهي هو استخدام UNC2970 لنسخة معدّلة من برنامج SumatraPDF مفتوح المصدر. فهم لا يستغلون ثغرة أمنية في SumatraPDF نفسه، بل يقومون بتعديل الكود لإدراج برمجياتهم الخبيثة.
تسلط هذه التقنية الضوء على التهديد المتزايد الذي تشكله سلسلة التوريد للبرامج. فحتى عند استخدام برامج مفتوحة المصدر، من الضروري توخي الحذر والتأكد من سلامة مصدر البرنامج.
أعجبني أيضًا تحليل Mandiant المفصل لعملية الإصابة، بدءًا من إغراء المستخدم بملف PDF مشفر وصولًا إلى نشر الباب الخلفي MISTPEN.
يوفر هذا التحليل معلومات قيمة للباحثين الأمنيين والمدافعين لفهم أساليب وتكتيكات UNC2970 بشكل أفضل، وبالتالي تحسين دفاعاتهم ضد هذه المجموعة.
أنصح بشدة بقراءة مدونة Mandiant للاطلاع على التفاصيل الكاملة للتحليل، بما في ذلك مؤشرات الاختراق وقواعد YARA المقدمة للكشف والاستجابة.
