يُعتقد أن المتسللين مرتبطون بجماعة إجرامية إلكترونية مقرها كوريا الشمالية لعازر حاولوا سرقة رقمية أخرى من خلال استهداف شركة العملات المشفرة deBridge Finance.
مثل ذكرت بواسطة بليبينج الكمبيوتر، يعمل deBridge باعتباره "بروتوكول نقل السيولة الذي يسمح بالنقل اللامركزي للبيانات والأصول" بين منصات blockchain المتعددة.
كانت هذه الحقيقة وحدها سببًا كافيًا لجعل لازاروس الشركة هدفها الأخير. تمت محاولة الاختراق عن طريق إرسال بريد إلكتروني للتصيد الاحتيالي إلى الموظفين. إذا تم فتحه، فإنه سيصيب النظام البرمجيات الخبيثة، مما يسمح له لاحقًا بالحصول على معلومات حساسة من الأجهزة التي تعمل بنظام Windows والموجودة على الشبكة.
متعلق ب
- قد يسمح هذا الاستغلال الخطير للمتسللين بتجاوز دفاعات جهاز Mac الخاص بك
- ربما يكون المتسللون قد سرقوا المفتاح الرئيسي لمدير كلمات مرور آخر
- يقوم مكتب التحقيقات الفيدرالي (FBI) بتعطيل عملية البرامج الضارة الروسية التي تستهدف الحكومات الأجنبية
كما أنه سيضع الأساس لجولة أخرى من التعليمات البرمجية الضارة التي سيتم تفعيلها في مرحلة متقدمة من الهجوم السيبراني.
مقاطع الفيديو الموصى بها
تلقى موظفو شركة deBridge Finance رسالة بريد إلكتروني الأسبوع الماضي من المتسللين، الذين تظاهروا بأنهم المؤسس المشارك للشركة، أليكس سميرنوف. احتوت رسالة البريد الإلكتروني على تفاصيل زائفة حول "تعديلات الرواتب الجديدة" عبر ملف HTML.
تم إخفاء هذا الملف كملف PDF، وانضم إليه ملف اختصار Windows (.LNK) الذي حاول جذب الضحايا من خلال التظاهر بأنه ملف نصي بكلمة مرور.
بمجرد فتح ملف PDF الذي تمت معالجته، يتم تشغيل موقع تخزين سحابي بعد ذلك، مما يطالب المستخدم بالرجوع إلى الملف النصي المزيف للحصول على كلمة مرور. من هنا، يتصل ملف LNK بموجه الأوامر باستخدام أمر يقوم باسترداد وتحميل الحمولة المخزنة عن بعد.
ومع قيام المتسللين الآن باختراق النظام ببرامجهم الضارة، فقد يتمكنون من الحصول على المعلومات ذات الصلة حوله النظام المستهدف مثل اسم المستخدم ونظام التشغيل ووحدة المعالجة المركزية ومحولات الشبكة والعمليات الجارية.
على الرغم من أن غالبية الموظفين الذين رأوا البريد الإلكتروني أبلغوا عن أنها مشبوهة، إلا أن أحد الأفراد لم يكن على علم بالطبيعة المضللة للمحتويات. وبمجرد أن قام ذلك الموظف بتنزيل المستند المزيف وفتحه، قال سميرنوف إنه كان قادرًا على فحص الهجوم نفسه.
ويُشتبه في أن قراصنة كوريين شماليين من مجموعة Lazarus يقفون وراء هذا الحادث بالذات بسبب التشابه في أسماء الملفات والبنية التحتية المكتشفة في هجوم سابق.
من المؤكد أن مجموعة لازاروس كانت نشطة في الآونة الأخيرة. لقد حاولت مؤخرًا خداع خبراء العملات المشفرة باستخدام ملف حملة بريد إلكتروني مماثلة من خلال التظاهر بأنها منصة تبادل العملات المشفرة Coinbase. وفي أماكن أخرى، تم ربط المتسللين بسرقة عملات مشفرة ضخمة بقيمة 617 مليون دولار في وقت سابق من هذا العام.
توصيات المحررين
- وحدة NatSec Cyber الجديدة التابعة لوزارة العدل لتعزيز مكافحة المتسللين المدعومين من الدولة
- هل يشكل ChatGPT كابوسًا للأمن السيبراني؟ لقد سألنا الخبراء
- يستخدم المتسللون خدعة جديدة مخادعة لإصابة أجهزتك
- يتيح هذا الخلل في Bing للمتسللين تغيير نتائج البحث وسرقة ملفاتك
- قد يسمح هذا الخلل الكبير في Apple للمتسللين بسرقة صورك ومسح جهازك
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
