يواصل باحثو الأمن السيبراني التحذير من محاولات الجهات الفاعلة في مجال التهديد في كوريا الشمالية لاستهداف الضحايا المحتملين على LinkedIn لتقديم برامج ضارة تسمى RustDoor.
أحدث الاستشارات تأتي من Jamf Threat Labs، والتي قال لقد رصدت محاولة هجوم تم من خلالها الاتصال بمستخدم على الشبكة الاجتماعية الاحترافية من خلال الادعاء بأنه مسؤول توظيف لبورصة مشروعة لامركزية للعملات المشفرة (DEX) تسمى STON.fi.
يعد النشاط السيبراني الخبيث جزءًا من حملة متعددة الجوانب أطلقتها جهات التهديد السيبراني المدعومة من جمهورية كوريا الشعبية الديمقراطية (DPRK) لاختراق الشبكات ذات الاهتمام بحجة إجراء مقابلات أو مهام تشفير.
يعد القطاع المالي وقطاع العملات المشفرة من بين الأهداف الرئيسية للخصوم الذين ترعاهم الدولة والذين يسعون إلى توليد إيرادات غير مشروعة وتحقيق مجموعة دائمة التطور من الأهداف القائمة على مصالح النظام.
تتجلى هذه الهجمات في شكل “حملات هندسة اجتماعية مصممة خصيصًا ويصعب اكتشافها” تستهدف موظفي التمويل اللامركزي (“DeFi”) والعملات المشفرة والشركات المماثلة، كما أبرز مؤخرًا مكتب التحقيقات الفيدرالي الأمريكي (FBI). ) في الاستشارة.
يتعلق أحد المؤشرات البارزة لنشاط الهندسة الاجتماعية في كوريا الشمالية بطلبات تنفيذ التعليمات البرمجية أو تنزيل التطبيقات على الأجهزة المملوكة للشركة، أو الأجهزة التي يمكنها الوصول إلى الشبكة الداخلية للشركة.
جانب آخر جدير بالذكر هو أن مثل هذه الهجمات تتضمن أيضًا “طلبات لإجراء “اختبار ما قبل التوظيف” أو تمرين تصحيح الأخطاء الذي يتضمن تنفيذ حزم Node.js غير القياسية أو غير المعروفة، أو حزم PyPI، أو البرامج النصية، أو مستودعات GitHub.”
وقد تم توثيق حالات تتضمن مثل هذه التكتيكات على نطاق واسع في الأسابيع الأخيرة، مما يؤكد التطور المستمر للأدوات المستخدمة في هذه الحملات ضد الأهداف.
تتضمن سلسلة الهجمات الأخيرة التي اكتشفها Jamf خداع الضحية لتنزيل مشروع Visual Studio مفخخ كجزء من تحدي التشفير المزعوم الذي يتضمن أوامر bash لتنزيل حمولتين مختلفتين في المرحلة الثانية (“VisualStudioHelper” و”zsh_env”) مع وظائف مماثلة.
هذه المرحلة الثانية من البرمجيات الخبيثة هي RustDoor، والتي تتعقبها الشركة تحت اسم Thiefbucket. حتى وقت كتابة هذا التقرير، لم يكن لدى أي من محركات مكافحة البرامج الضارة تم وضع علامة عليها ملف اختبار الترميز المضغوط باعتباره ضارًا. تم تحميله على منصة VirusTotal في 7 أغسطس 2024.
وقال الباحثان جارون برادلي وفردوس سالجوكي: “تُظهر ملفات التكوين المضمنة في عينتين منفصلتين من البرامج الضارة أن VisualStudioHelper سيستمر عبر cron بينما سيستمر zsh_env عبر ملف zshrc”.
تم توثيق RustDoor، وهو باب خلفي لنظام التشغيل MacOS، لأول مرة بواسطة Bitdefender في فبراير 2024 فيما يتعلق بحملة برامج ضارة تستهدف شركات العملات المشفرة. كشف تحليل لاحق أجرته S2W عن متغير Golang يطلق عليه اسم GateDoor والمخصص لإصابة أجهزة Windows.
تعتبر النتائج التي توصلت إليها Jamf مهمة، ليس فقط لأنها تمثل المرة الأولى التي تُنسب فيها البرامج الضارة رسميًا إلى جهات التهديد الكورية الشمالية، ولكن أيضًا لحقيقة أن البرامج الضارة مكتوبة بلغة Objective-C.
وقال جارون برادلي، مدير Jamf Threat Labs، لصحيفة The Hacker News: “إن التكتيكات والتقنيات المستخدمة (في الحملة) ترتبط ارتباطًا وثيقًا بما يراه مكتب التحقيقات الفيدرالي والعديد من الأشخاص الآخرين في الصناعة”.
“تتوافق الكثير من الأهداف والتقنيات والغايات الخاصة بالهجوم الذي تمت مناقشته بشكل وثيق مع الأنشطة السيبرانية الأخرى القادمة من جمهورية كوريا الشعبية الديمقراطية على مدى العامين الماضيين (عملية Dream Job، RustBucket)”.
تم تصميم VisualStudioHelper أيضًا ليكون بمثابة أداة سرقة المعلومات من خلال جمع الملفات المحددة في التكوين، ولكن فقط بعد مطالبة المستخدم بإدخال كلمة مرور النظام الخاصة به عن طريق إخفاءها كما لو أنها ناشئة من تطبيق Visual Studio لتجنب إثارة الشكوك.
ومع ذلك، تعمل الحمولتان كباب خلفي وتستخدمان خادمين مختلفين لاتصالات القيادة والتحكم (C2).
وقال الباحثون: “تواصل الجهات الفاعلة في مجال التهديد البقاء يقظين في إيجاد طرق جديدة لملاحقة العاملين في صناعة العملات المشفرة”. “من المهم تدريب موظفيك، بما في ذلك المطورين لديك، على عدم الثقة في أولئك الذين يتصلون عبر وسائل التواصل الاجتماعي ويطلبون من المستخدمين تشغيل البرامج من أي نوع.
“إن مخططات الهندسة الاجتماعية التي تنفذها جمهورية كوريا الشعبية الديمقراطية تأتي من أولئك الذين لديهم خبرة جيدة في اللغة الإنجليزية ويدخلون في المحادثة بعد أن بحثوا جيدًا عن هدفهم.”
-
-
-
-
