تصاعدت جهود جهات تهديد كورية شمالية، تُعرف باسم UNC1069، في شن هجمات متطورة على قطاعي العملات المشفرة والتمويل، مستخدمة مزيجاً متقدماً من البرمجيات الخبيثة الجديدة وتقنيات الهندسة الاجتماعية المدعومة بالذكاء الاصطناعي.
تنشط هذه المجموعة منذ عام 2018 على الأقل، وتواصل تطوير أساليبها، متحولة من هجمات التصيد الاحتيالي المعتادة إلى اختراقات عالية التخصيص تستهدف مطوري البرمجيات وشركات رأس المال الاستثماري.
تُظهر حملتهم الأخيرة توسعاً ملحوظاً في القدرات، مع التركيز على جمع بيانات الاعتماد، ورموز الجلسات، وبيانات المتصفح لتسهيل سرقة الأموال.
يبدأ المهاجمون عادةً التواصل عبر منصات الرسائل المهنية مثل تيليجرام، حيث ينتحلون صفة مجندين أو مسؤولين معتمدين لبناء علاقة قوية مع الضحايا المحتملين.
بعد تأسيس الثقة، يوجهون الضحايا نحو مكالمة مؤتمرات مجدولة باستخدام رابط اجتماع مزيف.
لتعزيز عملية الخداع، يستخدمون مقاطع فيديو مزيفة باستخدام تقنية التزييف العميق (deepfake) صادرة عن الذكاء الاصطناعي، تحاكي رؤساء شركات أثناء هذه المكالمات، مما يخلق ذريعة مقنعة تُضعف دفاعات الضحية وتُحضره للاختراق التقني.
UNC1069: توسع الهجمات على القطاع المالي بأدوات جديدة
حدد محللو Google Cloud عائلات البرمجيات الخبيثة وانتقال المجموعة إلى هذه الأساليب التي تستخدم الذكاء الاصطناعي بعد ملاحظة حجم غير عادي من الأدوات الخبيثة التي تم نشرها على أجهزة الضحايا.
لاحظ الباحثون أن UNC1069 تستخدم الآن ترسانة متنوعة من سبع عائلات برمجة خبيثة متميزة، بما في ذلك بوابات خلفية (backdoors) مخصصة وملحقات متصفح متخصصة.
تشير استراتيجية الأدوات العدوانية هذه إلى جهد حثيث لتجاوز التدابير الأمنية، وتأمين الوصول المستمر، واستخراج أكبر قدر ممكن من المعلومات الحساسة من الأنظمة المخترقة قبل اكتشافها.
يُعد تأثير هذه الاختراقات شديداً، حيث يهدف المهاجمون إلى استنزاف محافظ العملات المشفرة وسرقة بيانات الهوية لتمويل حملات هندسة اجتماعية مستقبلية.
من خلال نشر طبقات متعددة من البرامج الخبيثة، يضمنون أنه حتى لو تمت إزالة أداة واحدة، تبقى الأدوات الأخرى نشطة للحفاظ على السيطرة على الشبكة. يتيح لهم هذا الثبات مراقبة نشاط الضحية لفترات طويلة.
آلية الإصابة بـ ClickFix
تتضمن الطريقة الرئيسية لاختراق أنظمة الضحايا في هذه الحملة تقنية هندسية اجتماعية مخادعة تُعرف باسم “ClickFix”.
خلال اجتماع Zoom الاحتيالي، يقوم المهاجمون بمحاكاة مشكلة صوتية تقنية ويوجهون المستخدم بشكل عاجل إلى موقع ويب خبيث لاستكشاف الأخطاء وإصلاحها.
يعرض هذا الموقع أوامر “إصلاح” محددة يتم خداع الضحية لتنفيذها على جهازه لحل الخلل المفترض.
يُطلب من المستخدم نسخ وتنفيذ أمر طرفي يقوم بتنزيل وإطلاق الحمولة الأولى للبرنامج الخبيث سراً.
يقوم هذا الإجراء بخداع الإجراءات الأمنية القياسية بذكاء لأنه يتم تفويضه يدوياً من قبل المستخدم. بمجرد تنفيذ هذا الأمر، يقوم بنشر بوابة خلفية باسم WAVESHAPER أو برنامج تنزيل مثل SUGARLOADER.
تقوم هذه البرامج فوراً بإنشاء اتصال بخادم القيادة والتحكم الخاص بالمهاجم، مما يكمل بشكل فعال سلسلة الإصابة ويمنح المتسللين موطئ قدم راسخ لنشر المزيد من أدوات استخراج البيانات مثل CHROMEPUSH أو DEEPBREATH.