تابعنا على منصة أخبار جوجل
أخر الاخبار

مجموعة قرصنة إجرامية تحول نشاطها إلى العملات المشفرة

أجرت كاسبرسكي حديثًا تحقيقًا ركزت فيه على (دثنوت) DeathNote، الوحدة التابعة لمجموعة (لازاروس) Lazarus السيبرانية الإجرامية السيئة السمعة، واكتشفت تحولها بدرجة كبيرة على مر السنين.
مجموعة قرصنة إجرامية تحول نشاطها إلى العملات المشفرة

وبدأت المجموعة بشن هجمات على الشركات المرتبطة بالعملات المشفرة في جميع أنحاء العالم في عام 2019. وفي نهاية 2022، كانت مسؤولة عن الحملات التي استهدفت شركات تقنية المعلومات وشركات أخرى عاملة في قطاع الدفاع على مستوى أوروبا وأمريكا اللاتينية وكوريا الجنوبية وإفريقيا.
وكشف أحدث تقرير صادر عن كاسبرسكي التحول في أهداف المجموعة، إضافة إلى تطوير أدواتها وطُرقها وإجراءاتها وصقلها خلال السنوات الأربع الماضية.

واستهدفت مجموعة (لازاروس) الأعمال المرتبطة بالعملات المشفرة باستمرار لمدة طويلة، وفي أثناء مراقبة ورصد أنشطتها، لاحظت كاسبرسكي أن المجموعة ذاتها استخدمت برنامجًا ضارًا متغيرًا على نحو كبير في حالة واحدة.

وفي منتصف تشرين الأول/ أكتوبر من عام 2019، عثر خبراء كاسبرسكي على مستند مشبوه حُمِّل على موقع (فيروس توتال) VirusTotal.
واستخدم مطورو البرنامج الضار مستندات خادعة تتعلق بأعمال العملات المشفرة، وتتضمن استبيانًا عن شراء واحدة من العملات المشفرة، ومقدمة عن عملة معينة، ومقدمة أخرى عن تعدين عملة البيتكوين. وكانت هذه المرة الأولى التي تُظهر فيها حملة (دثنوت)، التي يعني اسمها: «مذكرة الموت»، استهداف أفراد وشركات ممن يعملون في العملات المشفرة في قبرص، والولايات المتحدة، وتايوان، وهونج كونج.

وفي شهر نيسان/ أبريل 2020، رصدت كاسبرسكي تحولًا كبيرًا في الأدوات والبرامج الضارة الخاصة بوحدة (دثنوت)، إذ تبيّن من خلال الأبحاث أنها كانت تستخدم في الهجمات الموجهة ضد شركات السيارات والمؤسسات الأكاديمية في أوروبا الشرقية المرتبطة بقطاع الدفاع.

وحوّلت المجموعة المسؤولة عن التهديد المستندات الخادعة جميعها المتعلقة بالتوصيف الوظيفي من مقاولي الدفاع والمستندات المتعلقة بالدبلوماسية، كما عمدت إلى تطوير السلسلة الضارة الخاصة بها باستخدام ما يطلق عليه «طريقة حقن القالب عن بُعد» في مستنداتها المُستخدمة في الهجمات، وتوظيف أحد برامج التروجانات كملفات (بي دي إف) PDF مفتوحة المصدر. وتؤدي طريقتا الإصابة إلى البرنامج الضار نفسه لتنزيل وحدة (دثنوت)، المسؤولة عن تحميل المعلومات الخاصة بالضحية.

ولاحظت كاسبرسكي في شهر أيار/ مايو 2021 أن وحدة (دثنوت) قد اخترقت شركة أوروبية متخصصة في مجال تقنية المعلومات، تعمل في مجال توفير حلول مراقبة أجهزة الشبكة والخادم.

وفي أوائل شهر حزيران/ يونيو 2021، بدأت الوحدة ذاتها التابعة لمجموعة (لازاروس) باستخدام آلية جديدة لإصابة الأهداف في كوريا الجنوبية. وكان اللافت لانتباه الباحثين أن المرحلة الأولى من البرنامج الضار نُفِّذت باستخدام برنامج شرعي يُستخدم على نطاق واسع للأمن في كوريا الجنوبية.

وفي أثناء مراقبتهم لوحدة (دثنوت) خلال عام 2022، اكتشف باحثو كاسبرسكي أن المجموعة كانت مسؤولة عن هجمات على عدد من مقاولي الدفاع في أمريكا اللاتينية.

وكانت الأدوات والبرامج الضارة مشابهة لتلك التي وُظِّفت لإصابة أهداف بقطاع الدفاع الأخرى، ومن ذلك: استخدام برنامج التروجانات لقراءة الملفات بنسق (بي دي إف) مع ملف بالنسق نفسه أُعدَّ خاصةً لهذه الغاية. ولكن في هذه الحالة بالذات، اعتمد المهاجمون على طريقة التحميل الجانبي لإيصال الحمولة النهائية.

وفي إحدى الحملات المستمرة التي رصدت أول مرة في تموز/ يوليو 2022، اكتشف الباحثون أن مجموعة (لازاروس) قد تمكنت من اختراق عدد من مقاولي بقطاع الدفاع بنجاح في إفريقيا.

وتمثلت الإصابة الأولية باستخدام تطبيق مشبوه بنسق (بي دي إف) أُرسل عبر (سكايب مسنجر). وعند تشغيل قارئ (بي دي إف)، أنشأ ملفًا شرعيًا، هو: CameraSettingsUIHost.exe، وملفًا ضارًا باسم DUI70.dll في الدليل نفسه.

وقال (سيونجسو بارك)، كبير باحثي الأمن في فريق البحث والتحليل العالمي GReAT في كاسبرسكي: «لقد أصبحت مجموعة (لازاروس) خطرة جدًا من خلال المهارات العالية التي تتمتع بها. ويكشف التحليل الذي أجريناه على وحدة (دثنوت) التابعة لها عن تحقيقها تطورًا سريعًا في الطرق والتقنيات والإجراءات التي تتبعها على مر السنين. وفي هذه الحملة بالذات، لم يقتصر نشاط المجموعة على الأعمال المرتبطة بالعملات المشفرة، ولكنها ذهبت إلى ما هو أبعد من ذلك بكثير، إذ تُوظِّف البرامج الشرعية والملفات الضارة على حد سواء لمهاجمة المؤسسات الدفاعية. وعلى ضوء مواصلتها العمل لتحسين طرقها في هجماتها الإجرامية، يكون لزامًا على الشركات التصرف بأعلى مستويات اليقظة، واتخاذ الإجراءات الاستباقية حتى تتمكن من التصدي لأنشطتها الضارة».

ولمعرفة المزيد عن وحدة (دثنوت) التابعة لمجموعة (لازاروس)، والمراحل المختلفة للحملة والتكتيكات والتقنيات والإجراءات التي تتبعها، يمكن الرجوع إلى التقرير الكامل على Securelist.

ولتفادي الوقوع ضحية لهجمات مستهدفة من قبل جهات تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع الإجراءات التالية:
  • إجراء تدقيق للأمن السيبراني ومراقبة الشبكات باستمرار لتصحيح أي نقاط ضعف أو لعلاج أي عناصر ضارة تُكتشف في محيط الشبكة أو داخلها.
  • توفير تدريب النظافة السيبرانية للموظفين، لاسيما أن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى.
  • توعية الموظفين بشأن ضرورة تنزيل البرامج وتطبيقات الأجهزة المحمولة فقط من مصادر موثوقة ومتاجر التطبيقات الرسمية.
  • استخدام أحد برامج الكشف عن نقاط النهاية للمساعدة على اكتشاف الحوادث في الوقت المناسب والاستجابة للتهديدات المتقدمة. وتوفر خدمة Kaspersky Managed Detection and Response القدرات اللازمة لتعقب التهديدات ضد الهجمات المستهدفة.
  • اعتماد حل لمكافحة الاحتيال لحماية معاملات العملة المشفرة من خلال اكتشاف ومنع سرقة الحسابات والمعاملات التي لم يُتحقَّق منها وغسيل الأموال.
سبوتك
بواسطة : سبوتك
"SPOTECH.net" لمتابعة أخبار تكنولوجيا المعلومات والاتصالات باللغة العربية، SPOTECH.net يضع بين يديك أحدث الأخبار التقنية المحلية والعالمية التي تخاطب اهتمامات القارئ العربي. نسعى لنكون متميزين في مجال الصحافة الالكترونية العربية، حريصين على تقديم كل ما هو جديد.
تعليقات



حجم الخط
+
16
-
تباعد السطور
+
2
-