قالت (مجموعة تحليل التهديدات) التابعة لشركة جوجل إن قراصنة الدولة في كوريا الشمالية يستهدفون مرة أخرى الباحثين الأمنيين في هجمات تستخدم ما لا يقل عن ثغرة فورية واحدة في برنامج شائع لم يُكشف عنه.
ويشارك الباحثون، الذين تعرضوا للهجوم في هذه الحملة، في أبحاث الثغرات الأمنية وتطويرها، وذلك وفقًا لفريق خبراء الأمن في جوجل الذي يحمي مستخدمي الشركة من الهجمات التي ترعاها الدولة.
ولم تكشف جوجل بعد عن تفاصيل الثغرة الفورية التي تُستغل في هذه الهجمات واسم البرنامج المُستغَّل، ويرجع ذلك على الأرجح إلى أن البائع لا يزال في طور تصحيح الثغرة الأمنية.
وقال (كليمنت ليسين) و(مادي ستون) من (مجموعة تحليل التهديدات) في منشور على مدونة جوجل: «إن (مجموعة تحليل التهديدات) على علم بوجود ما لا يقل عن ثغرة فورية واحدة تُستغل بنشاط لاستهداف الباحثين الأمنيين في الأسابيع القليلة الماضية».
وأضافا: «لقد أُبلغ البائع المتأثر بالثغرة الأمنية وهي الآن في طور التصحيح».
ويستخدم المهاجمون موقعي التواصل الاجتماعي إكس، وماستودون لجذب الباحثين الأمنيين المستهدفين إلى التحول إلى منصات المراسلة المشفرة، مثل: سيجنال، أو واير، أو واتساب.
وبعد إنشاء العلاقة والانتقال إلى قنوات الاتصال الآمنة، يرسل المهاجمون إليهم ملفات ضارة مصممة لاستغلال الثغرة الفورية.
وتتحقق الحمولة الضارة المنشورة في أنظمة الباحثين من كونها مُشغلة في بيئة افتراضية ثم تُرسل المعلومات المجمعة، ومن ذلك: لقطات الشاشة، إلى خوادم القيادة والتحكم الخاصة بالمهاجمين.
وقالت جوجل إن المهاجمين يستخدمون أيضًا أداة GetSymbol المفتوحة المصدر للهندسة العكسية التي تساعد فقط في تنزيل رموز تصحيح أخطاء الخاصة بمايكروسوفت، وموزيلا، وجوجل، وسيتريكس، ولكن بدلًا من ذلك، فإنها تسمح أيضًا بتنزيل تعليمات برمجية عشوائية وتنفيذها.
وتشبه هذه الحملة حملة سابقة كُشف عنها في شهر كانون الثاني/ يناير 2021، استُخدم فيها أيضًا تويتر ومنصات التواصل الاجتماعي الأخرى، مثل: لينكدإن، وتيليجرام، وديسكورد، وكيبيس كناقل اتصال أولي، ويُعتقد أن جهات التهديد الفاعلة نفسها هي التي نسَّقت تلك الحملة.
وفي هذه الهجمات، استخدمت الجهات الفاعلة في مجال التهديد في كوريا الشمالية أيضًا الثغرات الفورية لإصابة أنظمة ويندوز 10 المصححة بالكامل الخاصة بالباحثين الأمنيين بأبواب خلفية وبرامج ضارة لسرقة المعلومات.
وقالت مايكروسوفت أيضًا إنها تتبعت هجمات كانون الثاني/ يناير 2021 ورأت أن مشغلي مجموعة القرصنة (لازاروس) Lazarus، وهم يصيبون أجهزة الباحثين باستخدام ملفات MHTML بكود JavaScript ضار.
وفي شهر آذار/ مارس 2021، كشفت (مجموعة تحليل التهديدات) التابعة لجوجل عن تكرار الهجمات مرة أخرى، حيث استهدفت باحثين أمنيين باستخدام حسابات مزيفة على وسائل التواصل الاجتماعي لينكدإن وتويتر وشركة مزيفة تدعى (سيكوري إليت) SecuriElite.
وفي شهر آذار/ مارس الماضي، رصدت شركة (مانديانت) Mandiant أيضًا مجموعة قرصنة كورية شمالية مشتبه بها وقامت بمهاجمة باحثين أمنيين ومؤسسات إعلامية في الولايات المتحدة وأوروبا باستخدام عروض عمل مزيفة لإصابتهم ببرامج ضارة جديدة.
ومع أن جوجل لم تحدد بوضوح أهداف هذه الهجمات، يُعتقد أن هدفها الأساسي يتمثل في الحصول على ثغرات أمنية غير معلنة واستغلالها من خلال استهداف باحثين محددين.