إنهم معروفون في شبكة Darknet تحت الأرض باسم "The Lazarus Group" ، لكن مصادر استخباراتية تقول إنهم جيش رقمي لكوريا الشمالية. ربما تكون قد سمعت الاسم من قبل في اختراق 2014 الشهير لشركة Sony Pictures.
لكن أحدث عملياتهم لها هدف جديد - عملة مشفرة ، واكتشفتها شركة الأمن السيبراني Secureworks.
ينصب تركيز الهجوم على المديرين التنفيذيين في الشركات المالية التي تمتلك وتدير العملات المشفرة ، وتعمل على هذا النحو - يتلقى مسؤول تنفيذي بريدًا إلكترونيًا ، ينص على وجود فرصة للترقي في الرتب ، ويصبح المدير المالي للشركة.
يوجد مرفق في شكل ملف Microsoft word. عند الفتح ، يتلقون إشعارًا "يجب تمكين التحرير لعرض المستند" وعندما ينقر المستخدم على "موافق" ، فإنه يقوم بتشغيل برنامج نصي مضمن يقوم بأمرين.
أولاً ، تقوم بعد ذلك بفتح مستند غير ضار - وصف وظيفي فعلي لإبقاء المستخدم مشتتًا وغير مريب.
ثانياً ، تطلق سراً تقطير فيروس طروادة.
 |
| وثيقة الوصف الوظيفي غير المؤذية (الصورة: سكيوروركس) |
في حين أن الوصول إلى أحصنة طروادة ليس بجديد ويمكن حتى شراؤه وبيعه في منتديات Darknet تحت الأرض ، فإن ما يبرز حول هذا هو أنه لا يبدو أنه اختلاف من أحصنة طروادة المعروفة سابقًا - يبدو أنه تم ترميزه حديثًا من الصفر .
عند تقييم الرمز ، اعترفت وحدة مكافحة التهديدات Secureworks بشيء من العمليات الكورية الشمالية السابقة - اعتمادها الشديد على بروتوكول C2 ، الذي استخدمته مجموعة Lazarus في الماضي للتواصل مع خوادم التحكم والتحكم الرئيسية.
بدأت الاكتشافات الأولى لهذا الهجوم الجديد في أكتوبر ، ولا تزال مستمرة حتى اليوم.
يُنصح أولئك الذين يشعرون بأنها قد تكون هدفًا لمثل هذه الهجمات للتأكد من تعطيل وحدات الماكرو في Microsoft Word ، ويتطلبون المصادقة ذات العاملين على الأنظمة ذات البيانات الحساسة.
-------
كاتب: روس ديفيس
مكتب أخبار سان فرانسيسكو
لا توجد تعليقات
أضف تعليق