تستهدف مجموعة UNC1069 المدعومة من كوريا الشمالية شركات العملات المشفرة باستخدام استراتيجيات مبتكرة تعتمد على الهندسة الاجتماعية.
يستهدف فاعل تهديد مدعوم ماليًا من كوريا الشمالية شركات العملات المشفرة باستراتيجيات جديدة تعتمد على الهندسة الاجتماعية المدعومة بالتزييف العميق.
نشرت شركة مانديانت التابعة لجوجل كلاود هذا الأسبوع بحثًا يتعلق بفاعل تهديد تتعقب نشاطه تحت اسم UNC1069، والذي كان نشطًا منذ عام 2018 على الأقل. يتناول البحث بشكل رئيسي هجومًا واحدًا استخدم فيه المهاجم حسابًا مخترقًا لأحد التنفيذيين في مجال العملات المشفرة لاستهداف ضحية ثانوية.
استخدم المهاجمون حساب التنفيذي للتواصل مع الضحية، مدعين أنهم المالكون الحقيقيون للحساب. كتب روس إنمان وأدريان هيرنانديز من مانديانت: “تواصل UNC1069 مع الضحية، وبعد بناء علاقة، أرسل رابط Calendly لتحديد موعد اجتماع مدته 30 دقيقة. كان رابط الاجتماع نفسه يوجه إلى اجتماع مزيف على زووم تم استضافته على بنية المهاجم التحتية.”
كان مكالمة زووم المزيفة في الواقع فيديو، يبدو أنه تزييف عميق يتظاهر بأنه أحد التنفيذيين في شركة أخرى للعملات المشفرة. كان الفيديو يهدف إلى خداع المستخدم للاعتقاد بأنه يواجه مشاكل في الصوت، وفي تلك اللحظة، كان المهاجم “يساعد” المستخدم في حل المشكلة من خلال تقديم تعليمات. تضمنت هذه التعليمات مجموعتين من الأوامر (اعتمادًا على ما إذا كان الهدف يستخدم نظام macOS أو Windows) وكانت توجه المستخدم لتشغيل أمر واحد يبدأ سلسلة العدوى.
هذه هي تقنية ClickFix الكلاسيكية، وهي أسلوب هندسة اجتماعية اكتسب شعبية على مدار العام الماضي. تأخذ هذه التقنية أشكالًا مختلفة ولكنها تتلخص في خداع المستخدم لحل مشكلة تحقق أو استكشاف مشكلة تقنية — عادةً من خلال إدخال كود ضار في سطر الأوامر.
“لقد لاحظت مانديانت أن UNC1069 تستخدم هذه التقنيات لاستهداف كل من الكيانات والشخصيات داخل صناعة العملات المشفرة، بما في ذلك شركات البرمجيات ومطوريها، بالإضافة إلى شركات رأس المال الاستثماري وموظفيها أو تنفيذييها،” جاء في منشور مدونة مانديانت. “يشمل ذلك استخدام اجتماعات زووم المزيفة واستخدام أدوات الذكاء الاصطناعي المعروفة من قبل فاعل التهديد لتحرير الصور أو الفيديوهات خلال مرحلة الهندسة الاجتماعية.”
UNC1069 تعيد توجيه أنظارها
من المرجح أن UNC1069 مرتبطة بكوريا الشمالية، وفقًا لمانديانت. منذ عام 2023، قامت المجموعة بتغيير تكتيكاتها بعيدًا عن تقنيات الصيد التقليدي واستهداف الشركات المالية التقليدية. تركيزها الجديد: صناعة Web3، سواء كانت شركات مثل البورصات المركزية أو الأفراد المعنيين في منظمات مثل شركات رأس المال الاستثماري. على الرغم من عدم كونها الفاعل الأكثر بروزًا في تنفيذ سرقات العملات المشفرة، إلا أن مانديانت قالت إنها لا تزال تهديدًا نشطًا.
ما يبرز هو تقنيات الهندسة الاجتماعية الخاصة بـ UNC1069، والتي في هذه الحالة استغلت حساب تنفيذي شرعي على تيليجرام، ودعوة Calendly شرعية لبناء شعور بالسلطة، (على الأرجح) فيديوهات تزييف عميق، وتقنية ClickFix في سلسلة معقدة (إن لم تكن أنيقة). كما تعتمد على نماذج اللغة الكبيرة (LLMs) مثل Gemini لإجراء أبحاث وتطوير أدوات للهجمات.
في الحادثة الرئيسية الموصوفة في المدونة، نفذ الضحية أوامر ضارة على جهاز macOS الخاص به. يقوم الأمر بتثبيت باب خلفي يمكّن من الأنشطة اللاحقة، مثل نشر أداة تنزيل لأدوات إضافية، بما في ذلك باب خلفي ثانٍ يتواصل مع خادم الأوامر.
تضمنت هذه الأدوات الإضافية اثنين من عمال البيانات للاستيلاء على مجموعة من البيانات من جهاز الضحية، بما في ذلك بيانات اعتماد سلسلة المفاتيح، وبيانات المتصفح، وبيانات مستخدم تيليجرام، وبيانات مستخدم ملاحظات آبل.
لم توضح جوجل كيف ستقوم UNC1069 بتحقيق الربح من هذا الهجوم على وجه الخصوص، لكن مانديانت تعتقد أن هذه الحادثة الأخيرة كانت هجومًا مستهدفًا يهدف إلى تمكين سرقة العملات المشفرة وإشعال “حملات هندسة اجتماعية مستقبلية من خلال الاستفادة من هوية الضحية وبياناتها.”
يجب على المنظمات أن تأخذ في الاعتبار عدم تشغيل كود ضار أو تثبيت SDKs من مصادر خارجية، والتحقق من طلبات الاجتماعات المشبوهة من خلال قناة ثانية (يفضل أن تكون شخصية أو عبر الهاتف). تعتبر تقنيات ClickFix مدمرة للمنظمات لأنها تخدع المستخدم في تعريض نفسه للخطر. حتى الآن، قد تكون سطور قليلة من الكود كافية للاستيلاء الكامل على النظام.
يجب على الشركات أن تكون حذرة من هذه التقنيات الحديثة وأن تتخذ التدابير اللازمة لحماية بياناتها من التهديدات المتزايدة.
