- أبلغت Mandiant عن UNC1069 باستخدام Telegram المخترق ومكالمات Zoom المزيفة ومقاطع الفيديو المزيفة العميقة
- تم خداع الضحايا لتثبيت مجموعة من البرامج الضارة، بما في ذلك WAVESHAPER وHYPERCALL وSUGARLOADER
- يستهدف الممثلون الكوريون الشماليون شركات العملات المشفرة، ويواصلون حملات السرقة المرتبطة بالدولة مثل Lazarus وTraderTraitor
يبدو أن مجرمي الإنترنت في كوريا الشمالية يصعدون من مستوى لعبتهم، حيث تزعم تقارير Mandiant الجديدة أن المتسللين يستخدمون الآن مجموعة من حسابات Telegram المخترقة، ومكالمات Zoom المزيفة، ومقاطع الفيديو المزيفة بعمق، وستة سلالات من البرامج الضارة.
يبدو أن هذا الخليط الشرير قد تم استخدامه ضد المنظمات العاملة في قطاع العملات المشفرة، بهدف سرقة مجموعات العملات المشفرة الخاصة بها.
وقالت مانديانت في تقريرها إنها لاحظت مجموعة تم تعقبها تحت اسم UNC1069 باستخدام هذه التقنية المتقدمة. يبدأ الهجوم بحساب Telegram مخترق لرئيس تنفيذي، أو مسؤول تنفيذي مماثل. يتم بعد ذلك استخدام الحساب لبدء محادثة مع الضحية، وبعد قليل من المراسلات، يتم دعوتهم إلى مكالمة Zoom.
هجوم غير ناجح
لكن الدعوة ليست مشروعة. إنه اجتماع Zoom مخادع، يتم استضافته على البنية التحتية لممثل التهديد – Zoom[.]uswe05[.]نحن. أثناء المكالمة، يُعرض على الضحايا مقطع فيديو مزيف لانتحال شخصية الرئيس التنفيذي، ويدعي أن صوت الضحية لا يعمل وأنه يجب عليهم إصلاحه.
أخيرًا، وبطريقة ClickFix التقليدية، يتم تقديم حل للضحايا، والذي بدلاً من “إصلاح” الخطأ غير الموجود، ينشر مجموعة كاملة من البرامج الضارة: WAVESHAPER، وHYPERCALL، وHIDENCALL، وSUGARLOADER، وSILENCELIFT، وDEEPBREATH، وCHROMEPUSH.
وتشكل هذه الأدوات معًا سلسلة عدوى متعددة المراحل تتيح الاستمرارية وجمع بيانات الاعتماد وسرقة بيانات المتصفح والوصول على المدى الطويل.
UNC1069 ليس جهة تهديد معترف بها على نطاق واسع. ومع ذلك، نظرًا لأن UNC يرمز إلى غير مصنف (أو غير مصنف)، فقد يعني ذلك فقط أن جهة التهديد التي تمت ملاحظتها مسبقًا قد غيرت بنيتها التحتية أو تقنيتها ولم يتم نسبتها بشكل صحيح بعد.
يشتهر الممثلون الكوريون الشماليون باستهداف شركات العملات المشفرة. نُسبت بعض أكبر عمليات السطو إلى مجموعات ترعاها الدولة مثل لازاروس، وغالبًا ما يتم تكليف هذه المجموعات بسرقة العملات المشفرة التي تمول البلاد من خلالها برنامج أسلحتها وأجهزة الدولة.
كانت أكبر عملية سرقة للعملات المشفرة على الإطلاق هي عملية اختراق بورصة Bybit ومقرها دبي في 21 فبراير 2025، حيث تمت سرقة حوالي 1.5 مليار من الأصول المرتبطة بالإيثريوم من محفظة باردة. وقد ربط المحللون ومسؤولو إنفاذ القانون الهجوم بمجموعات الجرائم الإلكترونية المرتبطة بالدولة في كوريا الشمالية، بما في ذلك مجموعة Lazarus Group وTraderTraitor.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات