تستخدم مجموعة Lazarus الكورية الشمالية برامج ضارة متقدمة في عمليات الاحتيال الوظيفية
Summary:
تنشر مجموعة Lazarus الكورية الشمالية برنامجا ضارا أكثر تقدما ، يطلق عليه اسم LightlessCan ، في عمليات الاحتيال الوظيفية المزيفة ، مما يجعل الكشف أكثر صعوبة. تم رصد الحمولة المطورة لأول مرة في هجوم على شركة طيران إسبانية ، وتتميز بميزات مبتكرة تعزز التخفي وتحميها من فك التشفير غير المقصود من قبل المحللين الأمنيين. عادة ما يطعم المتسللون الضحايا بعروض عمل مربحة مزيفة ويخدعونهم لتنزيل حمولة ضارة. منذ عام 2016 ، ورد أن المتسللين الكوريين الشماليين سرقوا ما يقدر بنحو 3.5 مليار دولار من مشاريع العملات المشفرة.
تستخدم مجموعة القراصنة الكورية الشمالية ، Lazarus Group ، برامج ضارة متقدمة في ما يسمى بحيل الاحتيال الوظيفي ، مما يشكل تحديا أكبر للكشف عن تكرارها السابق. في 29 سبتمبر ، قام بيتر كالناي ، كبير محققي البرامج الضارة في ESET ، بتفصيل تحليله لعملية احتيال توظيف مزيفة حديثة تستهدف شركة طيران إسبانية ، حيث تم تحديد باب خلفي غير مسجل سابقا يدعى LightlessCan.
عادة ما يتضمن MO لاحتيال التوظيف في مجموعة Lazarus اصطياد الضحايا بفرصة عمل مربحة محتملة في شركة حسنة السمعة. ثم يتم خداع المرشحين المطمئنين لتنزيل حمولة ضارة متنكرة في شكل مستندات ، والتي تعيث فسادا في أنظمتهم. ومع ذلك ، سلط Kálnai الضوء على أن حمولة LightlessCan الجديدة تمثل "ترقية كبيرة" من نظيرتها القديمة ، BlindingCan.
يقلد LightlessCan العديد من أوامر Windows الأصلية ، مما يسهل التنفيذ الخفي داخل RAT ، بدلا من عمليات تنفيذ وحدة التحكم الواضحة. قائلا: "توفر هذه الطريقة فائدة كبيرة من حيث المراوغة ، والمساعدة في تجنب حلول المراقبة في الوقت الفعلي مثل EDRs ، وفي إحباط أدوات الطب الشرعي الرقمي بعد الحادث".
تتضمن الحمولة المحدثة أيضا ما يشير إليه Kálnai باسم "حواجز حماية التنفيذ" ، مما يضمن أنه لا يمكن فك تشفير الحمولة إلا على نظام الضحية المتجهة ، وبالتالي التحايل على فك التشفير غير المقصود من قبل محللي الأمن. تم رصد البرنامج الضار الجديد لأول مرة في هجوم على شركة طيران إسبانية ، حيث تم إرسال رسالة إلى موظف من مسؤول توظيف وهمي في Meta ، ستيف داوسون ، في عام 2022. أرسل المتسللون بسرعة زوجا من تحديات الترميز غير المعقدة المرتبطة بالبرامج الضارة.
وأضاف كالناي أن التجسس الإلكتروني كان الدافع الأساسي لهجوم مجموعة لازاروس على الشركة الإسبانية. وتقدر التقارير أن المتسللين الكوريين الشماليين قد سرقوا ما يقرب من 3.5 مليار دولار من مشاريع العملات المشفرة منذ عام 2016، كما ذكرت شركة الطب الشرعي تشيناليسيس في 14 سبتمبر. في العام السابق ، أبلغت شركة الأمن السيبراني SentinelOne عن عملية احتيال وظيفية على LinkedIn ، حيث عرض على الضحايا وظائف في Crypto.com ، في إطار عملية تسمى "Dream Job".
وفي الوقت نفسه، تبذل الأمم المتحدة جهودا متضافرة للحد من أنشطة كوريا الشمالية الإجرامية الإلكترونية على الساحة العالمية بالنظر إلى أن كوريا الشمالية تحول الأموال غير المشروعة للحفاظ على مبادرتها الصاروخية النووية.
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.