يستهدف حصان طروادة الذي يعمل بنظام Android المنشقين الكوريين الشماليين ومؤيديهم

  • Sep 06, 2023

يتم استخدام تطبيقات الدردشة وبرامج مشاركة الملفات السحابية الشائعة في هجمات التجسس الإلكتروني التي تستهدف الأفراد المتورطين في مساعدة المنشقين الكوريين الشماليين.

فيديو: الألعاب الأولمبية الشتوية: دع الألعاب - وهجمات البرمجيات الخبيثة - تبدأ

حماية

  • 8 عادات للعاملين عن بعد الآمنين للغاية
  • كيفية العثور على برامج التجسس وإزالتها من هاتفك
  • أفضل خدمات VPN: كيف يمكن مقارنة أفضل 5 خدمات؟
  • كيفية معرفة ما إذا كنت متورطًا في عملية اختراق للبيانات - وماذا تفعل بعد ذلك

يتم استهداف المنشقين الكوريين الشماليين ومن يساعدونهم من خلال عملية اختراق تهدف إلى إصابة أجهزتهم ببرامج طروادة الضارة لأغراض التجسس عليهم.

ويبدو أن الحملة تختار الضحايا بعناية، باستخدام الشبكات الاجتماعية وتطبيقات الدردشة للتفاعل مباشرة مع الأهداف في كوريا الجنوبية وزرع برامج تجسس على هواتفهم الذكية.

وقد أرجع الباحثون في McAfee الهجمات إلى عملية أطلقوا عليها اسم Sun Team، والتي سميت على اسم الملفات المحذوفة المستخدمة للمساعدة في تنفيذ الهجمات. ولا يُعتقد حاليًا أن المجموعة لديها أي روابط لأي مجموعات جرائم إلكترونية معروفة سابقًا.

استخدمت هجمات Sun Team تطبيقات بما في ذلك KakaoTalk - وهو تطبيق دردشة شائع في كوريا الجنوبية - وغيرها خدمات الوسائط الاجتماعية بما في ذلك Facebook للمساعدة في الجهود المبذولة لتوزيع برامج طروادة الضارة على أجهزة Android الخاصة بالضحايا الأجهزة.

يكشف تحليل ملفات APK الضارة المستخدمة في الهجمات عن استخدام عناوين URL المختصرة في محاولة لتوزيع البرامج الضارة. تم استخدام إغراءين مختلفين في الحملة: أحدهما تم تقديمه على أنه "BloodAssistant"، وهو تطبيق للرعاية الصحية، بينما كان الآخر بعنوان "صلوا من أجل كوريا الشمالية" عند ترجمته إلى الإنجليزية. وفي بعض الحالات، استخدم المهاجمون فيسبوك لمحاولة توصيل BloodAssistant.

قطارة البرمجيات الخبيثة Sun Team قيد التنفيذ.

الصورة: مكافي

إذا نجحت البرامج الضارة في السقوط على أحد الأجهزة، فإنها تتحقق أولاً لمعرفة ما إذا كان الهاتف مصابًا بالفعل. إذا لم يكن الأمر كذلك، يستخدم المهاجمون هجوم التصيد الاحتيالي لخداع الضحية تشغيل إعدادات إمكانية الوصول أنها تتطلب الحصول على السيطرة الكاملة على الجهاز المصاب.

وفي محاولة لإخفاء كيفية التلاعب بإعدادات إمكانية الوصول، تفتح البرامج الضارة تراكبًا - غالبًا ما يكون مقطع فيديو - أعلى الشاشة ليكون بمثابة إلهاء. تتم إزالة التراكب فورًا بمجرد إسقاط الحمولة الضارة.

بمجرد تثبيته بنجاح على الجهاز المستهدف، يستخدم حصان طروادة الخدمات السحابية بما في ذلك Dropbox، جوجل، وياندكس كخادم تحكم، بالإضافة إلى مركز لتحميل البيانات المسروقة واستلامها الأوامر.

أنظر أيضا: ما هو التصيد؟ كل ما تحتاج إلى معرفته لحماية نفسك من رسائل البريد الإلكتروني الاحتيالية والمزيد

يتم حفظ البيانات المسروقة من الجهاز في مجلد مؤقت قبل تحميلها على السحابة أيضًا يوجه تعليمات لتنفيذ أنشطة ضارة بما في ذلك حفظ الرسائل والمعلومات حول جهات الاتصال. أدت الإشارات إلى "Sun Team" داخل هذا المجلد إلى قيام الباحثين بتسمية عملية القرصنة باسمها.

لا يُعرف الكثير عن المجموعة الغامضة التي تقف وراء الهجمات، لكن الباحثين في شركة McAfee توقعوا أنها يجب أن تكون على دراية كبيرة باللغة الكورية واللغة الكورية الجنوبية. الثقافة، لأن أسماء الحسابات المرتبطة بالحسابات السحابية للمهاجمين مأخوذة من التلفزيون الكوري - بما في ذلك أسماء شخصيات المسلسلات وبرامج الواقع. المتسابقين.

لاحظ الباحثون أيضًا أن كلمة واحدة تم العثور عليها مرتبطة بالمهاجمين - "فصيلة الدم" - تُستخدم بطريقة مرتبطة بالتهجئة الكورية الشمالية، بدلاً من ما يعادلها في كوريا الجنوبية. كما تم اكتشاف ملفات سجل اختبار IP لكوريا الشمالية على بعض حسابات Android المستخدمة لنشر البرامج الضارة.

ومع ذلك، تشير McAfee إلى أن هذا لا يكفي لاستخلاص أي استنتاجات حول موقع المهاجمين لأن "شبكة Wi-Fi كانت قيد التشغيل لذا لا يمكننا استبعاد احتمال أن يكون عنوان IP خاصًا".

التحميل الان: دليل قائد تكنولوجيا المعلومات للحد من التهديدات الأمنية الداخلية (بي دي إف مجاني)

ونتيجة لذلك، يقول الباحثون إنهم لا يستطيعون تأكيد من يقف وراء الحملة، بخلاف أنهم "على دراية بها". ويبدو أن كوريا الجنوبية تريد التجسس على المنشقين الكوريين الشماليين، وعلى الجماعات والأفراد الذين يساعدون المنشقين".

في حين أن عملية Sun Team مستهدفة بشكل كبير، مع وضع المنشقين الكوريين الشماليين وشركائهم في الاعتبار، McAfee يوصي الباحث Jaewon Min جميع مستخدمي Android باتباع أفضل الممارسات لتجنب الوقوع ضحية لها الهجمات.

"حافظ دائمًا على تحديث تطبيق أمان هاتفك المحمول إلى أحدث إصدار، ولا تقم مطلقًا بتثبيت التطبيقات من مصادر لم يتم التحقق منها. نوصي بتثبيت KakaoTalk من Google Play فقط. وقال إن هذه العادات ستقلل من خطر الإصابة بالبرامج الضارة.

التغطية ذات الصلة

تحاول هجمات طروادة الخبيثة التي يقوم بها قراصنة كوريون شماليون سرقة عملة البيتكوين

يقول الباحثون في Secureworks إن برامج طروادة الضارة يتم توزيعها في رسائل البريد الإلكتروني التصيدية باستخدام إغراء إعلان وظيفة مزيف.

يقول باحثون أمنيون إن هجوم برامج الفدية قد يكون له صلة بكوريا الشمالية

هل يمكن أن يكون المتسللون الذين يُعتقد أنهم وراء اختراق Sony Pictures عام 2014 مسؤولين عن برنامج الفدية WannaCry؟

اقرأ المزيد عن الجرائم الإلكترونية

  • يستهدف المتسللون الألعاب الأولمبية الشتوية ببرامج ضارة جديدة خالية من الملفات مصممة خصيصًا
  • هذه هي أسهل طريقة لمنع البرامج الضارة على جهاز Android الخاص بك [سي نت]
  • أمان Android: تتخذ Google إجراءات صارمة ضد التطبيقات التي ترغب في استخدام خدمات إمكانية الوصول
  • مستقبل الحرب السيبرانية: برامج الفدية المسلحة، وهجمات إنترنت الأشياء، وسباق تسلح جديد [تك ريبابليك]
  • يمكن لبرنامج التجسس الذي يعمل بنظام Android تسجيل المكالمات والتقاط لقطات الشاشة ومقاطع الفيديو واستهداف بيانات Gmail وLinkedIn وSnapchat