گروه لازاروس با پنل مدیریت مبتنی بر React حملات سایبری جهانی را هدایت می‌کند

گروه لازاروس، یکی از خطرناک‌ترین گروه‌های هکری کره شمالی، با استفاده از پنل مدیریت پیشرفته مبتنی بر React، حملات سایبری خود را به‌صورت متمرکز هدایت می‌کند. این پنل، علاوه بر کنترل سرورهای فرمان و کنترل (C2)، امکان ارسال بدافزار، سرقت اطلاعات و مدیریت سیستم‌های قربانیان را نیز فراهم کرده است. در حملات اخیر این گروه با نام عملیات مدار فانتوم (Operation Phantom Circuit)، توسعه‌دهندگان ارزهای دیجیتال در سراسر جهان هدف قرار گرفته‌اند و تاکنون بیش از ۲۳۳ قربانی در کشورهای مختلف شناسایی شده‌اند.

پنل ادمین مبتنی بر React گروه لازاروس: تهدیدی نوین برای امنیت سایبری

گروه هکری کره شمالی، معروف به گروه لازاروس، از یک پلتفرم تحت وب پیشرفته برای هماهنگی حملات سایبری جهانی خود استفاده می‌کند. این سیستم با React و Node.js API ساخته شده است. این سیستم به گروه لازاروس اجازه می‌دهد زیرساخت C2 خود را با کارایی بالا مدیریت کند. این پلتفرم مانند یک مرکز فرماندهی عمل می‌کند. نظارت بر سیستم‌های آلوده، سرقت اطلاعات و ارسال بدافزارها را آسان‌تر می‌کند.

عملیات مدار فانتوم: حمله‌ای جهانی

آخرین عملیات گروه لازاروس، با نام عملیات مدار فانتوم، توسعه‌دهندگان و سازمان‌های ارز دیجیتال را هدف قرار داد. این حملات از سپتامبر ۲۰۲۴ تا ژانویه ۲۰۲۵ در سراسر جهان انجام شد. در این عملیات از بسته‌های نرم‌افزاری آلوده استفاده شد. این بسته‌ها حاوی بدافزارهایی بودند که به مهاجمان اجازه می‌دادند به سیستم‌ها نفوذ کرده و اطلاعات حساس را سرقت کنند. تیم STRIKE شرکت SecurityScorecard این موضوع را افشا کرد. آنها متوجه شدند که زیرساخت حمله شامل پنل‌های ادمین مبتنی بر React است. این پنل‌ها در تمام سرورهای C2 که بررسی شدند، مشابه بودند. این شباهت، با وجود تفاوت در بدافزارها و روش‌های پنهان‌سازی، وجود داشت.

مقیاس این عملیات بسیار گسترده است. حدود ۲۳۳ قربانی در کشورهای مختلف، از جمله برزیل، فرانسه و هند، وجود داشته است. تنها در ژانویه ۲۰۲۵، بیش از ۱۱۰ قربانی در هند هدف قرار گرفتند. مهاجمان از روش‌های مهندسی اجتماعی استفاده کردند. آنها اغلب از طریق لینکدین، توسعه‌دهندگان ارز دیجیتال را با پیشنهادهای شغلی جعلی یا پیشنهادهای همکاری فریب می‌دادند.

ارتباط با پیونگ‌یانگ

شواهد، ارتباط قوی بین عملیات گروه لازاروس و کره شمالی را نشان می‌دهد. استفاده از Astrill VPN یکی از این شواهد است. قبلاً این VPN با یک طرح جعلی استخدام کارمند فناوری اطلاعات مرتبط بود. ارتباطات از آدرس‌های IP کره شمالی نیز از شواهد دیگر است. این ارتباطات از طریق گره‌های خروجی Astrill VPN و نقاط پایانی Oculus Proxy مسیریابی شده بودند و مستقیماً به پیونگ‌یانگ اشاره دارند. زیرساخت این گروه روی سرورهای Stark Industries میزبانی می‌شد. این سرورها، ارسال بدافزار و مدیریت اطلاعات را آسان‌تر می‌کردند.

قابلیت‌های مدیریتی پیشرفته

پنل ادمین مورد استفاده لازاروس قابلیت‌های پیشرفته‌ای دارد. برای مثال، امکان مشاهده و فیلتر کردن اطلاعات سرقت شده را فراهم می‌کند. این گروه با قرار دادن بدافزارها در نرم‌افزارهای معتبر، کاربران را فریب می‌دهد تا برنامه‌های آلوده را اجرا کنند. اطلاعات سرقت شده سپس از طریق سرورهای C2 که از طریق پورت ۱۲۲۴ کار می‌کنند، مدیریت می‌شوند. این کار به لازاروس کنترل متمرکز بر سیستم‌های قربانیان را می‌دهد.

این عملیات، پیچیدگی روزافزون تهدیدات سایبری را نشان می‌دهد. همچنین، نقش فزاینده فناوری‌های پیشرفته مانند React و Node.js در فعالیت‌های مخرب را برجسته می‌کند. سازمان‌ها، به ویژه در حوزه ارزهای دیجیتال، باید هوشیار باشند. آنها باید اقدامات امنیتی قوی برای کاهش خطرات ناشی از گروه‌هایی مانند لازاروس اتخاذ کنند.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news