هاكرز كوريا الشمالية يستهدفون شركات الدفاع ببرامج ضارة متقدمة
حدث توسيع اهتماماته الاستراتيجية في أوائل عام 2020 من خلال الاستفادة من أداة تسمى التهديد، قال الباحثون Vyacheslav Kopeytsev و Seongsu Park في كتابة يوم الخميس.
هاكرز كوريا الشمالية…تم ربط مجموعة القرصنة التي ترعاها الدولة في كوريا الشمالية بحملة تجسس مستمرة جديدة تهدف إلى التخلص من المعلومات الحساسة من المنظمات في صناعة الدفاع.
يعزى الهجمات بثقة عالية إلى مجموعة لازاروستشير النتائج الجديدة من Kaspersky إلى توسيع تكتيكات الممثل APT من خلال تجاوز سلسلة الجرائم المعتادة من الجرائم المالي لتمويل النظام الذي يعاني من ضائقة مالية.
حدث توسيع اهتماماته الاستراتيجية في أوائل عام 2020 من خلال الاستفادة من أداة تسمى التهديد، قال الباحثون Vyacheslav Kopeytsev و Seongsu Park في كتابة يوم الخميس.
على مستوى عالٍ ، تستفيد الحملة من نهج متعدد الخطوات يبدأ بهجوم صيد الرمح المصمم بعناية يؤدي في النهاية إلى اكتساب المهاجمين عن بعد على الأجهزة.
يتم تسليم التهديد إلى الأهداف عبر رسائل البريد الإلكتروني ذات الطابع المشترك مع مرفقات Microsoft Word الخبيثة كمتجهات عدوى أولية ، عند فتحها ، قم بتشغيل رمز ضار يحتوي على رمز ضار لتنزيل وتنفيذ حمولات إضافية على النظام المصاب.
تعمل البرامج الضارة في المرحلة التالية من خلال تضمين قدراتها الخبيثة داخل بورف Windows الذي يوفر ميزات للاستطلاع الأولي ونشر البرامج الضارة للحركة الجانبية وترشيح البيانات.
“بمجرد تثبيت التهديد ، يمكن لـ Threatneedle الحصول على سيطرة كاملة على جهاز الضحية ، مما يعني أنه يمكن أن يفعل كل شيء من معالجة الملفات إلى تنفيذ الأوامر المستلمة”. قال.
وجد Kaspersky تداخلًا بين التهديد وعائلة أخرى من البرامج الضارة التي تسمى Manuscrypt التي استخدمتها مجموعة Lazarus في حملات القرصنة السابقة ضد صناعات Cryptocurrency و Mobile Games ، إلى جانب الكشف عن اتصالات مع مجموعات Lazarus الأخرى مثل Applejeus و Deathnote و Bookdode.
ومن المثير للاهتمام ، تم نشر المناوبة أيضًا في عملية مجموعة لازاروس الشهر الماضي ، والتي تضمنت استهداف مجتمع الأمن السيبراني مع فرص للتعاون في أبحاث الضعف ، فقط لإصابة الضحايا بالبرامج الضارة التي يمكن أن تسبب سرقة المآثر التي طورها الباحثون من أجلهم للاختيار من أجلهم ، وبالتالي استخدامهم لتجهيزهم على الأهداف الضعيفة من اختيارهم.
ولعل الأكثر أهمية للتطوير هو تقنية اعتمدها المهاجمون لتجاوز حماية تجزئة الشبكة في شبكة مؤسسة لم تسمها من خلال “الوصول إلى جهاز توجيه داخلي وتكوينه كخادم وكيل ، مما يسمح لهم بالخروج من البيانات المسروقة من شبكة Intranet إلى الخادم البعيد.”
وقالت شركة الأمن السيبراني إن المنظمات في أكثر من عشرة دولة تأثرت حتى الآن.
تتم كتابة واحدة على الأقل من رسائل البريد الإلكتروني التي تصيب الرمح المشار إليها في التقرير باللغة الروسية ، في حين جاءت رسالة أخرى مع مرفق ملف ضار يسمى “Boeing_Aero_gs.docx ،” ربما تعني هدفًا أمريكيًا.
في وقت سابق من هذا الشهر ، اتُهمت وزارة العدل الأمريكية ثلاثة متسللين من كوريا الشمالية المرتبطة بقسم الاستخبارات العسكرية في كوريا الشمالية بزعم مشاركتها في مؤامرة جنائية حاولت ابتزاز 1.3 مليار دولار في العملة المشفرة والنقد من البنوك وغيرها من المنظمات في جميع أنحاء العالم.
وخلص الباحثون إلى أن “في السنوات الأخيرة ، ركزت مجموعة لازاروس على مهاجمة المؤسسات المالية في جميع أنحاء العالم”. “ومع ذلك ، ابتداءً من أوائل عام 2020 ، ركزوا على مهاجمة صناعة الدفاع بقوة”.
“في حين أن Lazarus قد استخدم سابقًا البرامج الضارة للتهديد المستخدمة في هذا الهجوم عند استهداف أعمال العملة المشفرة ، إلا أنها تستخدم حاليًا في هجمات السيبران.”
