وظائف وهمية: أداة جديدة لتجسس كوريا الشمالية على القطاعات الحيوية
مجموعة تجسس إلكتروني مرتبطة بكوريا الشمالية تستفيد من إغراءات التصيد الاحتيالي المتعلقة بالوظيفة
لوحظ أن مجموعة تجسس إلكتروني مرتبطة بكوريا الشمالية تستفيد من إغراءات التصيد الاحتيالي المتعلقة بالوظيفة لاستهداف الضحايا المحتملين في قطاعات الطاقة والفضاء وإصابتهم بباب خلفي غير موثق سابقًا يُطلق عليه اسم MISTPEN.
يتم تتبع مجموعة الأنشطة بواسطة شركة Mandiant المملوكة لشركة Google تحت الاسم المستعار UNC2970، والتي قالت إنها تتداخل مع مجموعة تهديد تعرف باسم TEMP.Hermit، والتي تسمى أيضًا على نطاق واسع Lazarus Group أو Diamond Sleet (المعروفة سابقًا باسم Zinc).
يمتلك ممثل التهديد تاريخًا في استهداف المؤسسات الحكومية والدفاعية والاتصالاتية والمالية في جميع أنحاء العالم منذ عام 2013 على الأقل لجمع معلومات استخباراتية استراتيجية تعزز مصالح كوريا الشمالية. وهي تابعة لمكتب الاستطلاع العام (RGB).
وقالت شركة استخبارات التهديدات إنها لاحظت أن UNC2970 يستهدف كيانات مختلفة موجودة في الولايات المتحدة والمملكة المتحدة وهولندا وقبرص والسويد وألمانيا وسنغافورة وهونج كونج وأستراليا.
“UNC2970 يستهدف الضحايا تحت ستار فرص العمل، ويتنكر في هيئة مسؤول توظيف لشركات بارزة”. قال في تحليل جديد، تقوم إضافته بنسخ إعلانات الوظائف المشروعة وتعديلها وفقًا لملفات التعريف المستهدفة.
“علاوة على ذلك، فإن التوصيفات الوظيفية المختارة تستهدف الموظفين على مستوى كبار/المديرين. وهذا يشير إلى أن جهة التهديد تهدف إلى الوصول إلى المعلومات الحساسة والسرية التي تقتصر عادةً على الموظفين ذوي المستويات الأعلى.”
تستلزم سلاسل الهجوم، المعروفة أيضًا باسم Operation Dream Job، استخدام إغراءات التصيد الاحتيالي للتواصل مع الضحايا عبر البريد الإلكتروني وWhatsApp في محاولة لبناء الثقة، قبل إرسالها عبر ملف أرشيف ZIP ضار يرتدي زي الوصف الوظيفي.
في تطور مثير للاهتمام، لا يمكن فتح ملف PDF الخاص بالوصف إلا باستخدام نسخة طروادة من تطبيق شرعي لقارئ PDF يُسمى Sumatra PDF متضمن في الأرشيف لتقديم MISTPEN عن طريق مشغل يُشار إليه باسم BURNBOOK.
تجدر الإشارة إلى أن هذا لا يعني حدوث هجوم على سلسلة التوريد ولا توجد ثغرة أمنية في البرنامج. وبدلاً من ذلك، تبين أن الهجوم يستخدم نسخة Sumatra PDF قديمة تم إعادة توظيفها لتنشيط سلسلة العدوى.
هذه طريقة مجربة ومختبرة اعتمدتها مجموعة القرصنة منذ عام 2022، حيث سلط كل من Mandiant وMicrosoft الضوء على استخدام مجموعة واسعة من البرامج مفتوحة المصدر، بما في ذلك PuTTY وKiTTY وTightVNC وSumatra PDF Reader و مثبت برنامج muPDF/التسجيل اللاشعوري لهذه الهجمات.
من المعتقد أن الجهات الفاعلة في التهديد من المحتمل أن تأمر الضحايا بفتح ملف PDF باستخدام برنامج عارض PDF المُسلح المرفق لبدء تنفيذ ملف DLL ضار، وهو مشغل C/C++ يسمى BURNBOOK.
وقال باحثو مانديانت: “هذا الملف عبارة عن قطارة لملف DLL مضمن، ‘wtsapi32.dll’، والذي يتم تعقبه كـ TEARPAGE ويستخدم لتنفيذ الباب الخلفي لـ MISTPEN بعد إعادة تشغيل النظام”. “MISTPEN هو إصدار حصان طروادة من البرنامج الإضافي الشرعي لبرنامج Notepad++، binhex.dll، والذي يحتوي على باب خلفي.”
يعتبر TEARPAGE، وهو مُحمل مضمن في BURNBOOK، مسؤولاً عن فك تشفير MISTPEN وتشغيله. تم تجهيز MISTPEN، وهو عبارة عن غرسة خفيفة الوزن مكتوبة بلغة C، لتنزيل وتنفيذ الملفات القابلة للتنفيذ المحمولة (PE) التي يتم استردادها من خادم الأوامر والتحكم (C2). ويتواصل عبر HTTP مع عناوين URL التالية لـ Microsoft Graph.
وقالت Mandiant أيضًا إنها كشفت عن قطع أثرية أقدم من BURNBOOK وMSPEN، مما يشير إلى أنه يتم تحسينها بشكل متكرر لإضافة المزيد من القدرات والسماح لها بالتحليق تحت الرادار. تم أيضًا اكتشاف عينات MISTPEN المبكرة باستخدام مواقع WordPress المخترقة كمجالات C2.
وقال الباحثون: “لقد قام ممثل التهديد بتحسين برامجه الضارة بمرور الوقت من خلال تطبيق ميزات جديدة وإضافة فحص اتصال الشبكة لعرقلة تحليل العينات”.
