جوجل: قراصنة يهاجمون الباحثين الأمنيين بيوم الصفر الجديد

تقول مجموعة تحليل التهديدات (TAG) التابعة لشركة Google إن قراصنة الدولة في كوريا الشمالية يستهدفون مرة أخرى الباحثين الأمنيين في هجمات تستخدم يوم صفر واحد على الأقل في برنامج شائع لم يتم الكشف عنه.

ويشارك الباحثون الذين تعرضوا للهجوم في هذه الحملة في أبحاث وتطوير الثغرات الأمنية، وفقًا لفريق خبراء الأمن في Google الذي يحمي مستخدمي الشركة من الهجمات التي ترعاها الدولة.

ولم تكشف جوجل بعد عن تفاصيل حول ثغرة اليوم الأول التي تم استغلالها في هذه الهجمات واسم البرنامج الضعيف، ويرجع ذلك على الأرجح إلى أن البائع لا يزال في طور تصحيح الثغرة الأمنية.

وقال كليمنت ليسين ومادي ستون من Google TAG: "إن TAG على علم بوجود يوم واحد على الأقل تم استغلاله بنشاط لاستهداف الباحثين الأمنيين في الأسابيع القليلة الماضية".

"تم الإبلاغ عن الثغرة الأمنية إلى البائع المتأثر وهي الآن في طور التصحيح."

 لجذب الباحثين الأمنيين المستهدفين إلى التحول إلى منصات المراسلة المشفرة مثل Signal أو Wire أو WhatsApp.

وبعد إنشاء العلاقة والانتقال إلى قنوات الاتصال الآمنة، يرسل المهاجمون إليهم ملفات ضارة مصممة لاستغلال يوم الصفر.

تتحقق حمولة كود القشرة المنشورة على أنظمة الباحثين من تشغيلها في جهاز افتراضي ثم ترسل المعلومات المجمعة (بما في ذلك لقطات الشاشة) إلى خوادم القيادة والتحكم الخاصة بالمهاجمين.

كما أنهم يستخدمون أداة GetSymbol مفتوحة المصدر للمهندسين العكسيين الذين يجب أن يساعدوا فقط في تنزيل رموز تصحيح أخطاء Microsoft وGoogle وMozilla وCitrix، ولكن بدلاً من ذلك، يسمح أيضًا بتنزيل وتنفيذ تعليمات برمجية عشوائية.

"إذا قمت بتنزيل هذه الأداة أو تشغيلها، توصي TAG باتخاذ الاحتياطات اللازمة للتأكد من أن نظامك في حالة نظيفة معروفة، ومن المحتمل أن يتطلب ذلك إعادة تثبيت نظام التشغيل"، حذر ليسين وستون.

سيطر المهاجم على حساب تويتر
حساب تويتر الذي يتحكم فيه المهاجم (Google TAG)
تحت الهجوم منذ يناير 2021 على الأقل
تشبه هذه الحملة حملة سابقة تم الكشف عنها في يناير 2021 والتي استخدمت أيضًا تويتر ومنصات التواصل الاجتماعي الأخرى مثل LinkedIn وTelegram وDiscord وKeybase كناقل اتصال أولي، ومن المفترض أن يتم تنسيقه بواسطة نفس الجهات الفاعلة.

في هذه الهجمات، استخدمت الجهات الفاعلة في مجال التهديد في كوريا الشمالية أيضًا برنامج Zero Days لإصابة أنظمة Windows 10 المصححة بالكامل الخاصة بالباحثين الأمنيين بأبواب خلفية وبرامج ضارة لسرقة المعلومات.

أبلغت Microsoft أيضًا عن تتبع هجمات يناير 2021 ورؤية مشغلي Lazarus Group وهم يصيبون أجهزة الباحثين باستخدام ملفات MHTML بكود JavaScript ضار.

في مارس 2021، كشفت Google TAG عن تكرار الهجمات مرة أخرى، حيث استهدفت باحثين أمنيين باستخدام حسابات مزيفة على وسائل التواصل الاجتماعي على LinkedIn وTwitter وشركة مزيفة تدعى SecuriElite.

وفي وقت سابق من هذا العام، في شهر مارس، رصدت شركة Mandiant أيضًا مجموعة قرصنة كورية شمالية مشتبه بها وقامت بمهاجمة باحثين أمنيين ومؤسسات إعلامية في الولايات المتحدة وأوروبا باستخدام عروض عمل مزيفة لإصابتهم ببرامج ضارة جديدة.

على الرغم من أن جوجل لم تحدد بشكل واضح أهداف هذه الهجمات، إلا أن هدفها الأساسي يبدو أنه يتمثل في اكتساب ثغرات أمنية غير معلنة واستغلالها من خلال استهداف باحثين محددين.

المصدر: بوابة الوفد