هجمات جديدة تستهدف الباحثين مجال الأمن الرقمي
صورة - م.ع.ن
تمكن باحثون من شركة Mandiant المتخصصة بالحلول الأمنية بالكشف عن مرتكبي الهجمات السيبرانية الكبيرة و أعلنوا بأنه يقف خلفها مجموعة من المخترقون تحمل الاسم UNC2970 يعملون لصالح حكومة كوريا الشمالية، يستهدفون فيها الباحثين في مجال الأمن الرقمي باستخدام تقنيات وبرمجيات جديدة، من أجل اختراق الشركات التي يعمل فيها الضحايا، باستخدام حسابات (لينكدين) LinkedIn تعود إلى موظفين مزيفين في الموارد البشرية.
حيث صيغت هذه الحسابات بعناية لتحاكي هويات أشخاص حقيقيين لخداع الضحايا وزيادة فرص نجاح الهجمة، وبعد التواصل مع الضحية عبر LinkedIn، يحاول المهاجم نقل المحادثة إلى تطبيق واتساب الذي يستخدمه لتوصيل البرامج الخبيثة.
و يتعمد المهاجمون من توصيل برنامج Plankwalk الخبيث من خلال برمجيات الماكرو Macros المضمنة في مستندات Microsoft Word وعند فتح المستند والسماح لبرمجية الماكرو بالتشغيل، يجري تنزيل وتنفيذ برمجية خبيثة من خادم السيطرة والتحكم التابع للمهاجمين. واعتمد المهاجمون بشكل رئيسي على مواقع مخترقة تستخدم برمجية (ووردبرس) WordPress لإيصال برمجياتهم الخبيثة.
وبمجرد أن يتم ثبيت البرنامج الخبيث Plankwalk، يمكن له تثبيت مجموعة واسعة من الأدوات الإضافية، منها تطبيق Microsoft InTune وهو تطبيق شرعي يستخدمه المهاجمون في الوصول إلى خوادم الشركة المستهدفة.
ونصحت Mandiant من إنشاء حسابات آمنة لإدارة الخدمات السحابية، وحسابات منفصلة لإرسال رسائل البريد الإلكتروني وتصفح الويب، وإنشاء حساب إداري خاص لتنفيذ المهام الحساسة، وذلك لتقليل الأضرار المحتملة في حال تعرض أحد الحسابات للاختراق، وأضافت الشركة أنه على المؤسسات تبني إجراءات أمنية إضافية مثل حظر برمجيات الماكرو ضمن شبكة المؤسسة ووضع سياسات أكثر أمنا لإمكانية الوصول إلى الخدمات الحساسة.
والجدير بالذكر أن هذه الحملة بدأت في يونيو من سنة 2020، واستخدمت ثلاث عائلات جديدة من البرمجيات الخبيثة، وهي Touchmove وSideshow و Touchshift
بحيث يأتي هذا الخبر في وقت تتزايد فيه الاتهامات لحكومة كوريا الشمالية باستهدافها الولايات المتحدة ودولا أخرى بهجمات القرصنة الإلكترونية وهو ما تنفيه الحكومة.
