الأخبار

شركة Google تحذر من حملة هندسة اجتماعية كورية شمالية تستهدف باحثي الأمن

Google warns of a North Korean social engineering campaign targeting security researchers
 
وصفت Google بالتفصيل كيف شن قراصنة كوريون شماليون حملة هندسة اجتماعية معقدة sophisticated social engineering campaign لإصابة باحثي الأمن السيبراني ببرامج ضارة. تضمنت الحملة العديد من حسابات وسائل التواصل الاجتماعي وحتى "مدونة" بحثية تم إنشاؤها لبناء المصداقية. أصيب بعض الباحثين باستخدام ملفات Visual Studio المضمنة ببرامج ضارة، بينما أصيب آخرون بمجرد زيارة أحد مواقع الويب.

وفقًا لمجموعة تحليل التهديدات Threat Analysis Group التابعة لـ Google، فإن قراصنة كوريا الشمالية الذين ترعاهم الدولة يستهدفون الباحثين الأمنيين عبر الهندسة الاجتماعية. تقول المجموعة، التي كتبت في منشور بالمدونة، إن الحملة استهدفت على وجه التحديد الباحثين العاملين في مجال البحث عن نقاط الضعف وتطويرها vulnerability research and development. الحملة مستمرة منذ "الأشهر العديدة الماضية".

حاول المتسللون إقامة علاقة مع مجتمع البحث الأمني ​​من خلال إنشاء مدونة والعديد من حسابات Twitter. تضمنت المدونة نفسها عمليات الكتابة عن نقاط الضعف المكتشفة سابقًا و "مشاركات الضيوف" مع باحثين أمنيين شرعيين على الخطوط الثانوية. ستنشر حسابات Twitter المختلفة روابط إلى مدونتها، وتعيد تغريد المنشورات الأخرى، وتربط مقاطع فيديو YouTube للمآثر المزعومة. تقول Google إن هذه كانت على الأرجح محاولة لبناء مصداقية مع باحثين آخرين.
ادعى أحد مقاطع الفيديو على YouTube أنه يستغل CVE-2021-1647، وهي ثغرة أمنية فعلية في Windows Defender قامت Microsoft بتصحيحها مؤخرًا. ومع ذلك، لاحظت Google (جنبًا إلى جنب مع المعلقين على YouTube) أن الفيديو كان مزيفًا. حاول المهاجمون مضاعفة مزاعم الاستغلال من خلال إعادة تغريد الفيديو باستخدام حساب Twitter آخر، قائلين "أعتقد أن هذا ليس مقطع فيديو مزيفًا".

بمجرد أن ينشئ المتسللون اتصالات مع باحث أمني، فإنهم يدعون الشخص للتعاون في بعض "الأبحاث". ثم يرسل المهاجمون إلى الهدف ملف مشروع Visual Studio مضمن ببرامج ضارة. عند فتح الملف، يقوم البرنامج الخبيث بإنشاء اتصال مرة أخرى بالمخترقين.
والأمر الأكثر ترويعًا هو أن Google أكدت إصابة بعض الباحثين بمجرد زيارة مدونة القراصنة. نظام Windows 10 مصحح بالكامل ومتصفح Chrome المحدث لم يوقف الإصابة. لسوء الحظ ، لم تتمكن Google من التحقق بالضبط من كيفية إصابة الأنظمة المحدثة بالكامل للباحثين بخلاف قيامهم جميعًا بالنقر فوق ارتباط إلى مدونة قامت بتثبيت خدمة ضارة خلسة. تقوم هذه الخدمة بإنشاء باب خلفي في الذاكرة لخادم الأوامر والتحكم.

استخدم المهاجمون العديد من منصات الوسائط الاجتماعية لاستهداف الباحثين الأمنيين، بما في ذلك Twitter و LinkedIn و Telegram و Discord و Keybase. قام Google بشكل مفيد بإدراج كل حساب ومجال معروف يستخدمه المهاجمون. إنه مقلق لأنه يظهر أنه حتى خبراء الأمن السيبراني ذوي الخبرة يمكن أن ينخدعوا بحملة هندسة اجتماعية متطورة بدرجة كافية. يجب على أي شخص مهتم بالبحث الأمني ​​الاطلاع على منشور المدونة الكامل لتقليل فرصه في أن يصبح هدفًا.