كشف تقرير حديث عن الأمن السيبراني من شركة Sekoia عن تهديد متطور تشكله مجموعة Lazarus Group، وهي مجموعة القراصنة سيئة السمعة المرتبطة بكوريا الشمالية. وهي تستفيد الآن من تكتيك يُعرف باسم "ClickFix" لاستهداف الباحثين عن عمل في صناعة العملات المشفرة، وخاصة في مجال التمويل المركزي (CeFi).
يمثل هذا النهج تعديلاً لحملة "المقابلة المعدية" السابقة للمجموعة، والتي كانت تستهدف سابقًا المطورين والمهندسين في أدوار الذكاء الاصطناعي والعملات المشفرة.
يستفيد Lazarus من توظيف العملات المشفرة
في الحملة التي تمت ملاحظتها للتو، حولت Lazarus تركيزها إلى المهنيين غير التقنيين، مثل موظفي التسويق وتطوير الأعمال، وانتحلت صفة شركات العملات المشفرة الكبرى مثل Coinbase وKuCoin وKraken، وحتى الشركة المصدرة للعملة المستقرة Tether.
يقوم المهاجمون بإنشاء مواقع ويب احتيالية تحاكي بوابات التقدم للوظائف وتجذب المرشحين بدعوات مقابلة مزيفة. تتضمن هذه المواقع غالبًا نماذج طلبات واقعية وحتى طلبات تقديم مقاطع فيديو، مما يعزز الشعور بالشرعية.
ومع ذلك، عندما يحاول المستخدم تسجيل مقطع فيديو، تظهر له رسالة خطأ مفتعلة، والتي تشير عادةً إلى وجود خلل في كاميرا الويب أو برنامج التشغيل. ثم تطالب الصفحة المستخدم بتنفيذ أوامر PowerShell تحت ستار استكشاف الأخطاء وإصلاحها، وبالتالي تشغيل تنزيل البرامج الضارة.
إن طريقة ClickFix هذه، على الرغم من أنها جديدة نسبيًا، إلا أنها أصبحت ذات شعبية متزايدة بسبب بساطتها النفسية، حيث يعتقد المستخدمون أنهم يحلون مشكلة تقنية ولا ينفذون تعليمات برمجية ضارة. وفقًا لسيكويا، تعتمد الحملة على مواد من 184 دعوة مزيفة لإجراء مقابلات، تشير إلى ما لا يقل عن 14 شركة كبرى لتعزيز المصداقية.
على هذا النحو، يُظهر التكتيك الأخير تطور لازاروس المتزايد في الهندسة الاجتماعية وقدرته على استغلال التطلعات المهنية للأفراد في سوق العمل التنافسي للعملات المشفرة. ومن المثير للاهتمام أن هذا التغيير يشير أيضًا إلى أن المجموعة تعمل على توسيع معايير الاستهداف الخاصة بها لاستهداف ليس فقط أولئك الذين لديهم إمكانية الوصول إلى التعليمات البرمجية أو البنية التحتية، ولكن أيضًا أولئك الذين قد يتعاملون مع بيانات داخلية حساسة أو يكونون في وضع يسمح لهم بتسهيل الانتهاكات عن غير قصد.
على الرغم من ظهور ClickFix، ذكرت Sekoia أن حملة Contagious Interview الأصلية لا تزال نشطة. يشير هذا النشر الموازي للاستراتيجيات إلى أن المجموعة التي ترعاها الدولة في كوريا الشمالية ربما تختبر فعاليتها النسبية أو تتكيف مع التكتيكات لتناسب التركيبة السكانية المستهدفة المختلفة. وفي كلتا الحالتين، تشترك الحملتان في هدف ثابت: توزيع البرامج الضارة التي تسرق المعلومات من خلال قنوات موثوقة والتلاعب بالضحايا لإحداث العدوى الذاتية.
لازاروس وراء Bybit Hack
أرجع مكتب التحقيقات الفيدرالي (FBI) رسميًا الهجوم الذي بلغت قيمته 1.5 مليار دولار على شركة Bybit إلى مجموعة Lazarus Group. استخدم المتسللون الذين يستهدفون بورصة العملات المشفرة عروض عمل مزيفة لخداع الموظفين لتثبيت برنامج تداول ملوث يُعرف باسم "TraderTraitor".
وبينما تم تصميم التطبيقات لتبدو أصلية من خلال التطوير عبر الأنظمة الأساسية لـ JavaScript وNode.js، فقد تضمنت التطبيقات برامج ضارة مصممة لسرقة المفاتيح الخاصة وتنفيذ المعاملات غير المشروعة على blockchain.
ظهرت مجموعة Lazarus Group تكتيكات لاستهداف الباحثين عن عمل في CeFi باستخدام البرامج الضارة "ClickFix" لأول مرة على CryptoPotato .