گروه لازاروس، یکی از خطرناکترین گروههای هکری کره شمالی، با استفاده از پنل مدیریت پیشرفته مبتنی بر React، حملات سایبری خود را بهصورت متمرکز هدایت میکند. این پنل، علاوه بر کنترل سرورهای فرمان و کنترل (C2)، امکان ارسال بدافزار، سرقت اطلاعات و مدیریت سیستمهای قربانیان را نیز فراهم کرده است. در حملات اخیر این گروه با نام عملیات مدار فانتوم (Operation Phantom Circuit)، توسعهدهندگان ارزهای دیجیتال در سراسر جهان هدف قرار گرفتهاند و تاکنون بیش از ۲۳۳ قربانی در کشورهای مختلف شناسایی شدهاند.
پنل ادمین مبتنی بر React گروه لازاروس: تهدیدی نوین برای امنیت سایبری
گروه هکری کره شمالی، معروف به گروه لازاروس، از یک پلتفرم تحت وب پیشرفته برای هماهنگی حملات سایبری جهانی خود استفاده میکند. این سیستم با React و Node.js API ساخته شده است. این سیستم به گروه لازاروس اجازه میدهد زیرساخت C2 خود را با کارایی بالا مدیریت کند. این پلتفرم مانند یک مرکز فرماندهی عمل میکند. نظارت بر سیستمهای آلوده، سرقت اطلاعات و ارسال بدافزارها را آسانتر میکند.
عملیات مدار فانتوم: حملهای جهانی
آخرین عملیات گروه لازاروس، با نام عملیات مدار فانتوم، توسعهدهندگان و سازمانهای ارز دیجیتال را هدف قرار داد. این حملات از سپتامبر ۲۰۲۴ تا ژانویه ۲۰۲۵ در سراسر جهان انجام شد. در این عملیات از بستههای نرمافزاری آلوده استفاده شد. این بستهها حاوی بدافزارهایی بودند که به مهاجمان اجازه میدادند به سیستمها نفوذ کرده و اطلاعات حساس را سرقت کنند. تیم STRIKE شرکت SecurityScorecard این موضوع را افشا کرد. آنها متوجه شدند که زیرساخت حمله شامل پنلهای ادمین مبتنی بر React است. این پنلها در تمام سرورهای C2 که بررسی شدند، مشابه بودند. این شباهت، با وجود تفاوت در بدافزارها و روشهای پنهانسازی، وجود داشت.
مقیاس این عملیات بسیار گسترده است. حدود ۲۳۳ قربانی در کشورهای مختلف، از جمله برزیل، فرانسه و هند، وجود داشته است. تنها در ژانویه ۲۰۲۵، بیش از ۱۱۰ قربانی در هند هدف قرار گرفتند. مهاجمان از روشهای مهندسی اجتماعی استفاده کردند. آنها اغلب از طریق لینکدین، توسعهدهندگان ارز دیجیتال را با پیشنهادهای شغلی جعلی یا پیشنهادهای همکاری فریب میدادند.
ارتباط با پیونگیانگ
شواهد، ارتباط قوی بین عملیات گروه لازاروس و کره شمالی را نشان میدهد. استفاده از Astrill VPN یکی از این شواهد است. قبلاً این VPN با یک طرح جعلی استخدام کارمند فناوری اطلاعات مرتبط بود. ارتباطات از آدرسهای IP کره شمالی نیز از شواهد دیگر است. این ارتباطات از طریق گرههای خروجی Astrill VPN و نقاط پایانی Oculus Proxy مسیریابی شده بودند و مستقیماً به پیونگیانگ اشاره دارند. زیرساخت این گروه روی سرورهای Stark Industries میزبانی میشد. این سرورها، ارسال بدافزار و مدیریت اطلاعات را آسانتر میکردند.
قابلیتهای مدیریتی پیشرفته
پنل ادمین مورد استفاده لازاروس قابلیتهای پیشرفتهای دارد. برای مثال، امکان مشاهده و فیلتر کردن اطلاعات سرقت شده را فراهم میکند. این گروه با قرار دادن بدافزارها در نرمافزارهای معتبر، کاربران را فریب میدهد تا برنامههای آلوده را اجرا کنند. اطلاعات سرقت شده سپس از طریق سرورهای C2 که از طریق پورت ۱۲۲۴ کار میکنند، مدیریت میشوند. این کار به لازاروس کنترل متمرکز بر سیستمهای قربانیان را میدهد.
این عملیات، پیچیدگی روزافزون تهدیدات سایبری را نشان میدهد. همچنین، نقش فزاینده فناوریهای پیشرفته مانند React و Node.js در فعالیتهای مخرب را برجسته میکند. سازمانها، به ویژه در حوزه ارزهای دیجیتال، باید هوشیار باشند. آنها باید اقدامات امنیتی قوی برای کاهش خطرات ناشی از گروههایی مانند لازاروس اتخاذ کنند.
اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
