تم رصد هاكرز من كوريا الشمالية يخدعون الباحثين عن عمل لتثبيت تعليمات برمجية خبيثة على أجهزتهم باستخدام سلالات وتقنيات جديدة من البرامج الضارة، مما يؤدي إلى سرقة بيانات الاعتماد أو سرقة العملات الرقمية وبرامج الفدية، وفقًا للباحثين من Cisco Talos وGoogle Threat Intelligence Group.
أعلنت شركة سيسكو تالوس عن رصد هجوم مرتبط بـ “فاموس تشوليما” (Famous Chollima)، والذي تضمن استخدام برمجيتي BeaverTail وOtterCookie، وهما سلالتان خبيثتان منفصلتان لكنهما متكاملتان، تستخدمهما جماعة التهديد المرتبطة بكوريا الشمالية بشكل متكرر.
وأوضح الباحثون أن تحليلهم حدد مدى اندماج برمجيتي BeaverTail وOtterCookie، ومدى إظهارهما لوظائف جديدة في الحملات الأخيرة.
ذكرت GTIG أنها رصدت استخدام UNC5342 لـ EtherHiding، وهو برمجية خبيثة على شكل حمولات JavaScript تُحوّل سلسلة كتل عامة إلى خادم قيادة وتحكم لامركزي.
وقال الباحثون إن UNC5342 دمج EtherHiding في حملة هندسة اجتماعية متحالفة مع كوريا الشمالية، والتي كانت تُعرف سابقًا باسم Contagious Interview من Palo Alto Networks.
قالت شركتا سيسكو وجوجل إن استخدام جماعات التهديد الكورية الشمالية لبرامج ضارة أكثر تخصصًا وتهربًا يؤكد الجهود التي تبذلها جهات مهاجمة الدولة القومية لتحقيق أهداف متعددة مع تجنب أشكال الكشف الأكثر شيوعًا.
من خلال تثبيت EtherHiding على البلوكشين، يمكن لـ UNC5342 تحديث وظائف البرامج الضارة عن بعد والحفاظ على التحكم المستمر في عملياتها دون القلق بشأن إزالة البنية التحتية أو انقطاعها.
وقال روبرت والاس، رئيس الاستشارات في شركة مانديانت، شركة الاستجابة للحوادث التابعة لشركة جوجل، في رسالة بالبريد الإلكتروني:
يشير هذا التطور إلى تصعيد في مشهد التهديدات، حيث يستخدم الجهات الفاعلة في مجال التهديد على مستوى الدولة الآن تقنيات جديدة لتوزيع البرامج الضارة المقاومة لعمليات الإزالة من قبل سلطات إنفاذ القانون والتي يمكن تعديلها بسهولة لحملات جديدة.
ووصف باحثو جوجل حملة الهندسة الاجتماعية التي تشنها كوريا الشمالية بأنها جهد متطور ومستمر لارتكاب أعمال التجسس والحصول على وصول مستمر إلى شبكات الشركات وسرقة البيانات الحساسة أو العملات الرقمية أثناء عملية التقدم للوظائف والمقابلة.
وفقًا لجوجل، غالبًا ما تحدث هذه الهجمات أثناء تقييم فني مزيف، حيث يُطلب من المتقدمين للوظائف تنزيل ملفات تحتوي على برمجيات خبيثة دون علمهم. وقد رصد الباحثون عملية إصابة متعددة المراحل بالبرمجيات الخبيثة شملت JadeSnow وBeaverTail وInvisibleFerret.
وفقًا للتقرير، كشف باحثو سيسكو تالوس عن هجومٍ إلكترونيٍّ شهيرٍ باسم “تشوليما” على منظمةٍ غير مُعلنةٍ مقرّها سريلانكا، ويُرجّح أن يكون مصدره مستخدمٌ وقع ضحية عرض عملٍ وهمي. ولم تكن المنظمة مُستهدفةً من قِبَل المهاجمين.
وفقًا لشركة Cisco Talos، لاحظ الباحثون وحدةً غير موثقة سابقًا لتسجيل ضغطات المفاتيح والتقاط لقطات شاشة في الحملة التي تتبعوها إلى عينات OtterCookie. احتوى هذا البرنامج الخبيث لسرقة المعلومات على وحدةٍ تستمع إلى ضغطات المفاتيح وتلتقط لقطات شاشة بشكل دوري لجلسة سطح المكتب، والتي تُحمّل تلقائيًا إلى خادم القيادة والتحكم الخاص بـ OtterCookie.
شاركت كل من شركة سيسكو وجوجل مؤشرات الاختراق في تقاريرهما الخاصة لمساعدة الباحثين عن التهديدات في العثور على المزيد من القطع الأثرية للنشاط الخبيث لمجموعات التهديد في كوريا الشمالية.
