برنامج COVERTCATCH الخبيث

تم اكتشاف أن جهات تهديد من كوريا الشمالية تستغل LinkedIn لاستهداف المطورين من خلال مخططات توظيف وهمية. يتضمن أحد التكتيكات الرئيسية استخدام اختبارات الترميز كطريقة أولية للإصابة. بعد إشراك الهدف في محادثة، يرسل المهاجم ملف ZIP متنكرًا في شكل تحدي ترميز Python، والذي يحتوي في الواقع على برنامج COVERTCATCH الخبيث. بمجرد تنفيذه، يبدأ هذا البرنامج الخبيث هجومًا على نظام macOS الخاص بالهدف، ويقوم بتنزيل حمولة المرحلة الثانية لإنشاء الثبات باستخدام Launch Agents وLaunch Daemons.

كوريا الشمالية تظل اللاعب الرئيسي في الجرائم الإلكترونية

ولكن هذا مجرد مثال واحد ضمن مجموعات مختلفة من الأنشطة ــ مثل عملية "وظيفة الأحلام" و"المقابلة المعدية" ــ التي تنفذها مجموعات القرصنة الكورية الشمالية باستخدام الطعوم المرتبطة بالوظائف لنشر البرمجيات الخبيثة.

كما تم استخدام تكتيكات ذات طابع تجنيد بشكل شائع لنشر عائلات البرامج الضارة مثل RustBucket و KANDYKORN . في هذا الوقت، ليس من الواضح ما إذا كان COVERTCATCH مرتبطًا بهذه أو TodoSwift المكتشف حديثًا.

تمكن الباحثون من تحديد حملة هندسة اجتماعية حيث تم إخفاء ملف PDF فاسد في صورة وصف وظيفي لـ "نائب رئيس المالية والعمليات" في بورصة رئيسية للعملات المشفرة. ألقى هذا الملف PDF برنامجًا ضارًا في المرحلة الثانية يسمى RustBucket، وهو باب خلفي قائم على Rust يدعم تنفيذ الملفات.

يمكن لزرع RustBucket جمع معلومات أساسية عن النظام، والتواصل مع عنوان URL محدد، وإنشاء الثبات من خلال وكيل التشغيل الذي يتخفى في صورة "تحديث Safari"، مما يمكنه من الاتصال بنطاق Command-and-Control (C2) المبرمج بشكل ثابت.

مجموعات القراصنة في كوريا الشمالية تستمر في التطور

إن تركيز كوريا الشمالية على منظمات Web3 يتجاوز الهندسة الاجتماعية ليشمل هجمات سلسلة توريد البرمجيات، كما يتضح من الحوادث الأخيرة التي شملت 3CX وJumpCloud. بمجرد أن يتمكن المهاجمون من الوصول من خلال البرامج الضارة، فإنهم ينتقلون إلى مديري كلمات المرور لجمع بيانات الاعتماد، وإجراء استطلاع داخلي من خلال مستودعات التعليمات البرمجية والوثائق، والتسلل إلى بيئات استضافة السحابة للكشف عن مفاتيح المحفظة الساخنة وفي النهاية استنزاف الأموال.

ويأتي هذا الكشف بالتزامن مع تحذير أصدره مكتب التحقيقات الفيدرالي الأمريكي (FBI) بشأن جهات تهديد كورية شمالية تستهدف صناعة العملات المشفرة بحملات هندسة اجتماعية متخصصة للغاية ويصعب اكتشافها.

غالبًا ما تتضمن هذه الجهود المستمرة انتحال هوية شركات التوظيف أو الأفراد المألوفين، وعرض فرص العمل أو الاستثمار. تعمل مثل هذه التكتيكات كبوابة لعمليات سرقة جريئة للعملات المشفرة تهدف إلى توليد دخل غير مشروع لكوريا الشمالية، التي لا تزال خاضعة للعقوبات الدولية.

يستخدم الجهات الفاعلة في مجال التهديد تكتيكات مخصصة لإصابة الأهداف

وتتضمن التكتيكات الرئيسية التي يستخدمها هؤلاء الممثلون ما يلي:

  • استهداف الشركات المرتبطة بالعملات المشفرة.
  • إجراء بحث مسبق شامل على ضحاياهم قبل الاتصال بهم.
  • إنشاء سيناريوهات وهمية مخصصة للغاية لزيادة احتمالية النجاح.

قد يشيرون إلى تفاصيل شخصية، مثل الاهتمامات أو الانتماءات أو الأحداث أو العلاقات أو الروابط المهنية التي قد يعتقد الضحية أنها معروفة لقلة من الناس فقط. تم تصميم هذا النهج لبناء علاقة طيبة وفي النهاية توصيل البرامج الضارة.

إذا نجحوا في إقامة الاتصال، فقد يستثمر الفاعل الأول أو عضو آخر في الفريق وقتًا كبيرًا في التفاعل مع الضحية لتعزيز مظهر الشرعية وتعزيز الشعور بالألفة والثقة.

الشائع

الأكثر مشاهدة

جار التحميل...