الأمن الإلكتروني

كوريا الشمالية تستهدف الباحثين الأمنيين في هجماتٍ جديدة

قال باحثون من شركة Mandiant المتخصصة بالحلول الأمنية، إنهم تمكنوا من الكشف عن مجموعة من الهجمات السيبرانية الكبيرة التي يقف خلفها مخترقون يعملون لصالح حكومة كوريا الشمالية، يستهدفون فيها الباحثين في مجال الأمن الرقمي باستخدام تقنيات وبرمجيات جديدة، أملًا منهم باختراق الشركات التي يعمل فيها الضحايا.

وقالت الشركة إن الحملة بدأت في يونيو 2020، واستخدمت ثلاث عائلات جديدة من البرمجيات الخبيثة، هي Touchmove وSideshow وTouchshift.

ويشتبه الباحثون بأن المجموعة التي تحمل الاسم UNC2970 استهدفت الباحثين في مجال الأمن الرقمي بشكل خاص في هذا العملية، باستخدام حسابات (لينكدإن) LinkedIn تعود إلى موظفي مزيفين في الموارد البشرية. وصيغت هذه الحسابات بعناية لتحاكي هويات أشخاص حقيقيين لخداع الضحايا وزيادة فرص نجاح الهجمة. وبعد التواصل مع الضحية عبر LinkedIn، يحاول المهاجم نقل المحادثة إلى تطبيق واتساب الذي يستخدمه لتوصيل البرامج الخبيثة.

ويعمد المهاجمون إلى توصيل برنامج Plankwalk الخبيث من خلال برمجيات الماكرو Macros المضمنة في مستندات Microsoft Word. ولدى فتح المستند والسماح لبرمجية الماكرو بالتشغيل، يجري تنزيل وتنفيذ برمجية خبيثة من خادم السيطرة والتحكم التابع للمهاجمين. واعتمد المهاجمون بشكلٍ رئيسي على مواقع مُخترقة تستخدم برمجية (ووردبرس) WordPress لإيصال برمجياتهم الخبيثة.

وبمجرد تثبيت البرنامج الخبيث Plankwalk، يمكن له تثبيت مجموعة واسعة من الأدوات الإضافية، منها تطبيق Microsoft InTune وهو تطبيق شرعي يستخدمه المهاجمون في الوصول إلى خوادم الشركة المُستهدفة.

وقالت الشركة: “رغم أن المجموعة قد استهدفت في السابق صناعات الدفاع والإعلام والتكنولوجيا، يُعتبر استهدافها للباحثين الأمنيين تغييرًا في إستراتيجيتها أو توسيعًا لرقعة عملياتها”.

ونصحت Mandiant المؤسسات بتطبيق نظام التحقق بخطوتين، وإنشاء حسابات آمنة لإدارة الخدمات السحابية، وحسابات منفصلة لإرسال رسائل البريد الإلكتروني وتصفح الويب، وإنشاء حساب إداري خاص لتنفيذ المهام الحساسة، وذلك لتقليل الأضرار المُحتملة في حال تعرض أحد الحسابات للاختراق. وأضافت الشركة أنه على المؤسسات تبنّي إجراءات أمنية إضافية مثل حظر برمجيات الماكرو ضمن شبكة المؤسسة ووضع سياسات أكثر أمنًا لإمكانية الوصول إلى الخدمات الحساسة.

ويأتي هذا الخبر في وقتٍ تتزايد فيه الاتهامات لحكومة كوريا الشمالية باستهدافها الولايات المتحدة ودولًا أخرى بهجمات القرصنة الإلكترونية، وهو ما تنفيه الحكومة.

زر الذهاب إلى الأعلى