الجيش الرقمي لكوريا الشمالية لديه هدف جديد: Bitcoin! نظرة داخل أحدث عملياتهم ، ولا تزال نشطة ...

لا توجد تعليقات

إنهم معروفون في شبكة Darknet تحت الأرض باسم "The Lazarus Group" ، لكن مصادر استخباراتية تقول إنهم جيش رقمي لكوريا الشمالية. ربما تكون قد سمعت الاسم من قبل في اختراق 2014 الشهير لشركة Sony Pictures.

لكن أحدث عملياتهم لها هدف جديد - عملة مشفرة ، واكتشفتها شركة الأمن السيبراني Secureworks.

ينصب تركيز الهجوم على المديرين التنفيذيين في الشركات المالية التي تمتلك وتدير العملات المشفرة ، وتعمل على هذا النحو - يتلقى مسؤول تنفيذي بريدًا إلكترونيًا ، ينص على وجود فرصة للترقي في الرتب ، ويصبح المدير المالي للشركة.

يوجد مرفق في شكل ملف Microsoft word. عند الفتح ، يتلقون إشعارًا "يجب تمكين التحرير لعرض المستند" وعندما ينقر المستخدم على "موافق" ، فإنه يقوم بتشغيل برنامج نصي مضمن يقوم بأمرين.

أولاً ، تقوم بعد ذلك بفتح مستند غير ضار - وصف وظيفي فعلي لإبقاء المستخدم مشتتًا وغير مريب.

ثانياً ، تطلق سراً تقطير فيروس طروادة.

وثيقة الوصف الوظيفي غير المؤذية (الصورة: سكيوروركس)
تم تصميم الفيروس لمنح القراصنة إمكانية الوصول الكامل عن بعد. أصبح الكمبيوتر الآن تحت سيطرتهم تمامًا - يمكنهم تسجيل ما يتم كتابته ، ورؤية ما يظهر على الشاشة ، وحتى تثبيت المزيد من البرامج الضارة إذا رغبوا في ذلك.

في حين أن الوصول إلى أحصنة طروادة ليس بجديد ويمكن حتى شراؤه وبيعه في منتديات Darknet تحت الأرض ، فإن ما يبرز حول هذا هو أنه لا يبدو أنه اختلاف من أحصنة طروادة المعروفة سابقًا - يبدو أنه تم ترميزه حديثًا من الصفر .

عند تقييم الرمز ، اعترفت وحدة مكافحة التهديدات Secureworks بشيء من العمليات الكورية الشمالية السابقة - اعتمادها الشديد على بروتوكول C2 ، الذي استخدمته مجموعة Lazarus في الماضي للتواصل مع خوادم التحكم والتحكم الرئيسية.

بدأت الاكتشافات الأولى لهذا الهجوم الجديد في أكتوبر ، ولا تزال مستمرة حتى اليوم.

يُنصح أولئك الذين يشعرون بأنها قد تكون هدفًا لمثل هذه الهجمات للتأكد من تعطيل وحدات الماكرو في Microsoft Word ، ويتطلبون المصادقة ذات العاملين على الأنظمة ذات البيانات الحساسة.

-------
كاتب: روس ديفيس
مكتب أخبار سان فرانسيسكو


لا توجد تعليقات