“`html

Lazarus Group يطور تكتيكات لاستهداف الباحثين عن عمل في CeFi ببرمجية “ClickFix”

أحدث التهديدات القادمة من مجموعة القرصنة سيئة السمعة.

تكتيكات جديدة من Lazarus Group: استهداف الباحثين عن عمل في مجال التمويل المركزي (CeFi)

كشف تقرير حديث للأمن السيبراني صادر عن Sekoia عن تهديد متطور تشكله مجموعة Lazarus Group، وهي مجموعة قرصنة سيئة السمعة مرتبطة بكوريا الشمالية. تستخدم المجموعة الآن تكتيكًا يُعرف باسم “ClickFix” لاستهداف الباحثين عن عمل في قطاع العملات المشفرة، وخاصة في مجال التمويل المركزي (CeFi).

يمثل هذا النهج تكييفًا لحملة المجموعة السابقة “Contagious Interview”، التي كانت تستهدف في السابق المطورين والمهندسين في مجالات الذكاء الاصطناعي والأدوار المتعلقة بالعملات المشفرة.

Lazarus تستغل عمليات التوظيف في مجال العملات المشفرة

في الحملة التي لوحظت حديثًا، حولت Lazarus تركيزها إلى المهنيين غير التقنيين، مثل موظفي التسويق وتطوير الأعمال، من خلال انتحال شخصية شركات تشفير كبرى مثل Coinbase و KuCoin و Kraken وحتى مُصدر العملة المستقرة Tether.

يقوم المهاجمون ببناء مواقع ويب احتيالية تحاكي بوابات تقديم طلبات العمل ويغوون المرشحين بدعوات مقابلة وهمية. غالبًا ما تتضمن هذه المواقع نماذج طلبات واقعية وحتى طلبات للحصول على مقدمات فيديو، مما يعزز الشعور بالمصداقية.

ومع ذلك، عندما يحاول المستخدم تسجيل مقطع فيديو، تظهر له رسالة خطأ ملفقة، والتي تشير عادةً إلى وجود خلل في كاميرا الويب أو برنامج التشغيل. ثم تحث الصفحة المستخدم على تشغيل أوامر PowerShell تحت ستار استكشاف الأخطاء وإصلاحها، وبالتالي تشغيل تنزيل البرامج الضارة.

تصبح طريقة ClickFix هذه، على الرغم من حداثتها نسبيًا، أكثر انتشارًا بسبب بساطتها النفسية – نظرًا لأن المستخدمين يعتقدون أنهم يحلون مشكلة فنية، وليس تنفيذ تعليمات برمجية ضارة. وفقًا لـ Sekoia، تعتمد الحملة على مواد من 184 دعوة مقابلة وهمية، تشير إلى ما لا يقل عن 14 شركة بارزة لتعزيز المصداقية.

على هذا النحو، يوضح أحدث تكتيك تطور Lazarus المتزايد في الهندسة الاجتماعية وقدرتها على استغلال الطموحات المهنية للأفراد في سوق العملات المشفرة التنافسي. ومن المثير للاهتمام أن هذا التحول يشير أيضًا إلى أن المجموعة توسع معايير استهدافها من خلال استهداف ليس فقط أولئك الذين لديهم حق الوصول إلى التعليمات البرمجية أو البنية التحتية، ولكن أيضًا أولئك الذين قد يتعاملون مع بيانات داخلية حساسة أو يكونون في وضع يسمح لهم بتسهيل الاختراقات عن غير قصد.

حملة “Contagious Interview” لا تزال نشطة

على الرغم من ظهور ClickFix، أفادت Sekoia أن حملة “Contagious Interview” الأصلية لا تزال نشطة. يشير هذا الانتشار الموازي للاستراتيجيات إلى أن المجموعة المدعومة من الدولة في كوريا الشمالية قد تختبر فعاليتها النسبية أو تعدل التكتيكات لتناسب التركيبة السكانية المستهدفة المختلفة. في كلتا الحالتين، تشترك الحملات في هدف ثابت – تقديم برامج ضارة لسرقة المعلومات من خلال قنوات موثوقة والتلاعب بالضحايا لإصابة أنفسهم.

Lazarus مسؤولة عن اختراق Bybit

نسب مكتب التحقيقات الفيدرالي (FBI) رسميًا الهجوم الذي بلغت قيمته 1.5 مليار دولار على Bybit إلى مجموعة Lazarus Group. استخدم المتسللون الذين استهدفوا بورصة العملات المشفرة عروض عمل وهمية لخداع الموظفين لتثبيت برامج تداول ملوثة تُعرف باسم “TraderTraitor”.

على الرغم من أنها مصممة لتبدو أصلية من خلال JavaScript متعدد المنصات وتطوير Node.js، إلا أن التطبيقات تحتوي على برامج ضارة مصممة لسرقة المفاتيح الخاصة وتنفيذ معاملات غير مشروعة على blockchain.

“`