يستهدف المتسللون المدعومين من كوريا الشمالية الباحثين الأمنيين خلال 0 يوم
يستهدف المتسللون المدعومين من كوريا الشمالية الباحثين الأمنيين خلال 0 يوم
توسيع
ديمتري نوجاييف | صور جيتي
يستهدف المتسللون المدعومين من كوريا الشمالية مرة أخرى الباحثين الأمنيين من خلال استغلال يوم الصفر والبرامج الضارة ذات الصلة في محاولة لاختراق أجهزة الكمبيوتر المستخدمة لإجراء تحقيقات حساسة تتعلق بالأمن السيبراني.
إن يوم الصفر غير المصحح حاليًا، وهو عبارة عن ثغرة أمنية معروفة للمهاجمين قبل أن يحصل بائع الأجهزة أو البرامج على تصحيح أمني، موجود في حزمة برامج شائعة يستخدمها الباحثون المستهدفون، حسبما قال باحثو جوجل يوم الخميس. لقد رفضوا تحديد البرنامج أو تقديم تفاصيل حول الثغرة الأمنية حتى أصدر البائع، الذي أبلغوه بشكل خاص، التصحيح. تم استغلال الثغرة الأمنية باستخدام ملف ضار أرسله المتسللون إلى الباحثين بعد قضاء أسابيع في إنشاء علاقة عمل.
وقال كليمنت ليسين ومادي ستون، وكلاهما باحثان في مجموعة أبحاث جوجل لتحليل التهديدات، إن البرامج الضارة المستخدمة في الحملة تتطابق بشكل وثيق مع التعليمات البرمجية المستخدمة في حملة سابقة والتي كانت مرتبطة بشكل قاطع بقراصنة مدعومين من حكومة كوريا الشمالية. لفتت هذه الحملة انتباه الجمهور لأول مرة في كانون الثاني (يناير) 2021 في منشورات من نفس مجموعة أبحاث Google، وبعد بضعة أيام من Microsoft.
وبعد شهرين، عادت جوجل للإبلاغ عن أن نفس الممثل الخبيث، بدلاً من الحفاظ على مستوى منخفض بعد كشف النقاب عنه، قد عاد، وهذه المرة يستهدف الباحثين باستخدام Zero Day الذي يستغل ثغرة أمنية في Internet Explorer. قامت شركة Microsoft، التي تتعقب مجموعة القرصنة باسم Zinc، بتصحيح الثغرة الأمنية في نفس الشهر.
وفي شهر مارس، قال باحثون في شركة Mandiant الأمنية إنهم اكتشفوا أيضًا قراصنة مدعومين من كوريا الشمالية، تم تحديدهم باسم UNC2970، يستهدفون الباحثين. وقال باحثو مانديانت إنهم لاحظوا حملة UNC2970 لأول مرة في يونيو 2022.
إن قواعد اللعبة في عام 2021 هي نفسها التي كانت Google تراقبها خلال الأسابيع القليلة الماضية. يتظاهر المتسللون بأنهم باحثون أمنيون وينشرون محتوى متعلقًا بالأمان على المدونات أو وسائل التواصل الاجتماعي. إنهم يطورون بصبر علاقات مع باحثين حقيقيين ثم يجرون مناقشاتهم في المنتديات الخاصة. وفي نهاية المطاف، يشارك الباحثون المزيفون أدوات استغلال أو تحليل طروادة مع الباحثين في محاولة لتشغيلها على أجهزتهم الشخصية.
في منشور يوم الخميس، كتب الباحثون في مجموعة تحليل التهديدات من Google ما يلي:
على غرار الحملة السابقة التي أبلغت عنها TAG، استخدمت الجهات الفاعلة في مجال التهديد في كوريا الشمالية مواقع التواصل الاجتماعي مثل X (Twitter سابقًا) لبناء علاقات مع أهدافها. وفي إحدى الحالات، أجروا محادثة استمرت لعدة أشهر، في محاولة للتعاون مع باحث أمني في موضوعات ذات اهتمام مشترك. وبعد أول اتصال عبر X، انتقلوا إلى تطبيق مراسلة مشفر مثل Signal أو WhatsApp أو Wire. بمجرد تطوير العلاقة مع باحث مستهدف، أرسل ممثلو التهديد ملفًا ضارًا يحتوي على 0 يوم على الأقل في حزمة برامج شائعة.
يستهدف المتسللون المدعومين من كوريا الشمالية مرة أخرى الباحثين الأمنيين من خلال استغلال يوم الصفر والبرامج الضارة ذات الصلة في محاولة لاختراق أجهزة الكمبيوتر المستخدمة لإجراء تحقيقات حساسة تتعلق بالأمن السيبراني.
إن يوم الصفر غير المصحح حاليًا، وهو عبارة عن ثغرة أمنية معروفة للمهاجمين قبل أن يحصل بائع الأجهزة أو البرامج على تصحيح أمني، موجود في حزمة برامج شائعة يستخدمها الباحثون المستهدفون، حسبما قال باحثو جوجل يوم الخميس. لقد رفضوا تحديد البرنامج أو تقديم تفاصيل حول الثغرة الأمنية حتى أصدر البائع، الذي أبلغوه بشكل خاص، التصحيح. تم استغلال الثغرة الأمنية باستخدام ملف ضار أرسله المتسللون إلى الباحثين بعد قضاء أسابيع في إنشاء علاقة عمل.
وقال كليمنت ليسين ومادي ستون، وكلاهما باحثان في مجموعة أبحاث جوجل لتحليل التهديدات، إن البرامج الضارة المستخدمة في الحملة تتطابق بشكل وثيق مع التعليمات البرمجية المستخدمة في حملة سابقة والتي كانت مرتبطة بشكل قاطع بقراصنة مدعومين من حكومة كوريا الشمالية. لفتت هذه الحملة انتباه الجمهور لأول مرة في كانون الثاني (يناير) 2021 في منشورات من نفس مجموعة أبحاث Google، وبعد بضعة أيام من Microsoft.
وبعد شهرين، عادت جوجل للإبلاغ عن أن نفس الممثل الخبيث، بدلاً من الحفاظ على مستوى منخفض بعد كشف النقاب عنه، قد عاد، وهذه المرة يستهدف الباحثين باستخدام Zero Day الذي يستغل ثغرة أمنية في Internet Explorer. قامت شركة Microsoft، التي تتعقب مجموعة القرصنة باسم Zinc، بتصحيح الثغرة الأمنية في نفس الشهر.
وفي شهر مارس، قال باحثون في شركة Mandiant الأمنية إنهم اكتشفوا أيضًا قراصنة مدعومين من كوريا الشمالية، تم تحديدهم باسم UNC2970، يستهدفون الباحثين. وقال باحثو مانديانت إنهم لاحظوا حملة UNC2970 لأول مرة في يونيو 2022.
إن قواعد اللعبة في عام 2021 هي نفسها التي كانت Google تراقبها خلال الأسابيع القليلة الماضية. يتظاهر المتسللون بأنهم باحثون أمنيون وينشرون محتوى متعلقًا بالأمان على المدونات أو وسائل التواصل الاجتماعي. إنهم يطورون بصبر علاقات مع باحثين حقيقيين ثم يجرون مناقشاتهم في المنتديات الخاصة. وفي نهاية المطاف، يشارك الباحثون المزيفون أدوات استغلال أو تحليل طروادة مع الباحثين في محاولة لتشغيلها على أجهزتهم الشخصية.
في منشور يوم الخميس، كتب الباحثون في مجموعة تحليل التهديدات من Google ما يلي:
على غرار الحملة السابقة التي أبلغت عنها TAG، استخدمت الجهات الفاعلة في مجال التهديد في كوريا الشمالية مواقع التواصل الاجتماعي مثل X (Twitter سابقًا) لبناء علاقات مع أهدافها. وفي إحدى الحالات، أجروا محادثة استمرت لعدة أشهر، في محاولة للتعاون مع باحث أمني في موضوعات ذات اهتمام مشترك. وبعد أول اتصال عبر X، انتقلوا إلى تطبيق مراسلة مشفر مثل Signal أو WhatsApp أو Wire. بمجرد تطوير العلاقة مع باحث مستهدف، أرسل ممثلو التهديد ملفًا ضارًا يحتوي على 0 يوم على الأقل في حزمة برامج شائعة.
توسيع
ديمتري نوجاييف | صور جيتي
