تستخدم مجموعة القرصنة هذه أدوات غير معروفة سابقًا لاستهداف مقاولي الدفاع

  • Oct 21, 2023

وقد قام الباحثون بتحليل "عملية North Star" ووجدوا أنه بالإضافة إلى استخدام التقنيات الجديدة، فإنها تنتقي وتختار الأهداف المصابة للتركيز على الأهداف الأكثر قيمة.

استخدم المتسللون أدوات غير معروفة سابقًا في حملة تجسس إلكترونية استهدفت الدفاع والفضاء الشركات في حملة الهندسة الاجتماعية والتصيد الاحتيالي التي يتم استهدافها على نطاق أوسع من الحملة الأولى معتقد.

الباحثون في شركة مكافي أول عملية مفصلة لنجم الشمال في وقت سابق من هذا العام، لكن المزيد من التحليل يكشف عن تكتيكات وتقنيات إضافية للحملة تحتوي تقريبًا على عناصر متطابقة مع Hidden Cobra - AKA The Lazarus Group – عملية قرصنة تقول حكومة الولايات المتحدة وآخرون إنها تتم من كوريا الشمالية نيابة عن الحكومة في بيونغ يانغ.

خصوصية

  • كيفية حذف نفسك من نتائج البحث على الإنترنت وإخفاء هويتك عبر الإنترنت
  • أفضل المتصفحات للخصوصية
  • يمنع "وضع الإصلاح" الخاص بالهاتف الذكي من سامسونج الفنيين من عرض صورك
  • هل تطبيقات تتبع الدورة الشهرية آمنة؟

لا تزال الحملة قائمة حولها رسائل البريد الإلكتروني التصيدية ورسائل LinkedIn التي تظهر كرسائل توظيف في محاولة لجذب الضحايا لفتح مرفقات ضارة. حتى أن المتسللين يستخدمون إعلانات التوظيف المشروعة والوثائق المأخوذة من مواقع مقاولي الدفاع الأمريكيين المشهورين لجعل رسائل البريد الإلكتروني تبدو أكثر مصداقية.

يرى: استراتيجية ناجحة للأمن السيبراني(تقرير خاص لـ ZDNet) | قم بتنزيل التقرير بصيغة PDF(تك ريبابليك)

لكن الآن تحليل إضافي من قبل مكافي كشف كيف يستخدم المهاجمون مرحلتين من عمليات زرع البرامج الضارة. يتم اختراق كافة الأهداف من خلال المرحلة الأولى من البرامج الضارة، والتي تسمح للمهاجمين بجمع البيانات بما في ذلك معلومات القرص ومساحة القرص الحرة واسم الكمبيوتر واسم المستخدم الذي تم تسجيل الدخول والعملية معلومة.

يقوم المتسللون بتحليل هذه المعلومات لتحديد ما إذا كانت الضحية ذات قيمة عالية بما يكفي لمواصلة الهجوم - إذا لم يتم اعتبار الضحية من المهم بما فيه الكفاية، أن يتم تهميش الآلة بينما يركز المهاجمون على توزيع المرحلة الثانية من البرمجيات الخبيثة على الضحايا الذين يعتبرون أكثر جدارة بالاهتمام. انتباه.

تستخدم المرحلة الثانية غرسة معروفة سابقًا تسمى Torisma، وهي أداة تم تطويرها خصيصًا وتركز على المراقبة المتخصصة أنظمة الضحايا عالية القيمة، التي تتطلع إلى الوصول إلى بيانات اعتماد تسجيل الدخول وجلسات سطح المكتب البعيد - كل ذلك أثناء البقاء غير مكتشفة.

"الأمر الواضح هو أن هدف الحملة كان إنشاء حملة تجسس مستمرة وطويلة الأمد تركز على أهداف محددة". وقال باحثون في شركة McAfee في تقريرهم: "إن الأفراد الذين يمتلكون تكنولوجيا ذات قيمة استراتيجية من البلدان الرئيسية في جميع أنحاء العالم". مشاركة مدونة.

بالنسبة لعملية North Star، كان هذا يعني البحث عن ضحايا مستهدفين محددين وإنشاء محتوى مخصص لجذب الضحايا، ثم إصابتهم ببرامج ضارة في محاولة لارتكاب عمليات تجسس.

يرى: لا يقوم ضحايا برامج الفدية بإبلاغ الشرطة عن الهجمات. وهذا يسبب مشكلة كبيرة

قدمت التقارير الأولية للحملة تفاصيل عن الهجمات ضد أهداف في الولايات المتحدة، لكن تلك لم تكن الوحيدة التي كان المتسللون يتطلعون إلى حل وسط فيها - وكشف تحليل الهجمات أن مقاولي الدفاع والتكنولوجيا في إسرائيل وروسيا والهند وأستراليا قد تم استهدافهم أيضًا حملة.

"كان الممثلون الذين يقفون وراء الحملة أكثر تطوراً مما بدوا في البداية. وقال الباحثون: "إنهم يركزون ويتعمدون ما يقصدون تحقيقه، وأكثر انضباطًا وصبرًا في التنفيذ لتحقيق هدفهم".

التجسس الإلكتروني ليس هو الشكل الوحيد للهجمات الإلكترونية التي تشارك فيها كوريا الشمالية؛ قراصنة يعملون لصالح بيونغ يانغ سرقة العملات المشفرة بانتظام للالتفاف على العقوبات الدولية. كما تم إلقاء اللوم على كوريا الشمالية تفشي برنامج الفدية WannaCry.

المزيد عن الأمن السيبراني

  • كوريا الشمالية تطلق برنامجًا ضارًا جديدًا من نوع Electricfish في حملات Hidden Cobra
  • تتخذ Microsoft إجراءات قانونية ضد المتسللين الكوريين الشماليين سي نت
  • القرصنة والتجسس الإلكتروني: البلدان التي ستظهر كتهديدات رئيسية في عشرينيات القرن الحادي والعشرين
  • يجد المحللون صلة بين الجيش الكوري الشمالي ومنظمة البرامج الإجرامية TrickBot TechRepublic
  • تنبيه بشأن التصيد الاحتيالي: تظهر هجمات القرصنة في كوريا الشمالية أن بريدك الإلكتروني لا يزال هو الحلقة الأضعف