تقرير: تهديد BlueNoroff يستنزف حسابات الشركات الناشئة في مجال العملات المشفرة
كشف خبراء كاسبرسكي النقاب عن سلسلة من الهجمات التي شنها ممثل التهديد المستمر APT) BlueNoroff) ضد الشركات الصغيرة والمتوسطة في جميع أنحاء العالم ، مما أدى إلى خسائر كبيرة في العملات المشفرة للضحايا. تستهدف الحملة ، التي يطلق عليها اسم SnatchCrypto ، العديد من الشركات التي تتعامل ، بحكم طبيعة عملها ، مع العملات المشفرة والعقود الذكية ، و DeFi ، و Blockchain ، وصناعة FinTech. في أحدث حملة لـ BlueNoroff ، كان المهاجمون يسيئون استخدام ثقة الموظفين العاملين في الشركات المستهدفة بمهارة من خلال إرسال باب خلفي بنظام Windows كامل الميزات مع وظائف مراقبة تحت ستار "عقد" أو ملف عمل آخر. من أجل إفراغ محفظة تشفير الضحية في النهاية ، طور الممثل موارد واسعة وخطيرة: بنية تحتية معقدة ، وعمليات استغلال ، وغرسات برمجيات ضارة. BlueNoroff هي جزء من مجموعة Lazarus الأكبر وتستخدم هيكلها المتنوع وتقنيات الهجوم المتطورة. تشتهر مجموعة Lazarus APT بالهجمات على البنوك والخوادم المتصلة بـ Swift ، وقد شاركت في إنشاء شركات وهمية لتطوير برامج العملات المشفرة. بعد ذلك ، قام العملاء المخدوعون بتثبيت تطبيقات ذات مظهر شرعي ، وبعد فترة ، تلقوا تحديثات من الباب الخلفي. الآن ، تحول فرع Lazarus هذا إلى مهاجمة الشركات الناشئة للعملات المشفرة. نظرًا لأن معظم شركات العملات الرقمية عبارة عن شركات ناشئة صغيرة أو متوسطة الحجم ، فلا يمكنها استثمار الكثير من الأموال في نظام الأمان الداخلي الخاص بها. يتفهم الممثل هذه النقطة ويستفيد منها باستخدام مخططات هندسة اجتماعية متقنة. لكسب ثقة الضحية ، تتظاهر BlueNoroff بأنها شركة رأس مال مخاطر حالية. كشف باحثو كاسبرسكي النقاب عن أكثر من 15 مشروعًا تجاريًا ، تم إساءة استخدام اسم علامتها التجارية وأسماء موظفيها خلال حملة SnatchCrypto. يعتقد خبراء Kaspersky أيضًا أن الشركات الحقيقية لا علاقة لها بهذا الهجوم أو رسائل البريد الإلكتروني. تم اختيار مجال تشفير بدء التشغيل من قبل مجرمي الإنترنت لسبب: غالبًا ما تتلقى الشركات الناشئة رسائل أو ملفات من مصادر غير مألوفة. على سبيل المثال ، قد ترسل الشركة المغامرة عقدًا أو ملفات أخرى متعلقة بالعمل. يستخدم ممثل APT هذا كطعم لجعل الضحايا يفتحون المرفق بالبريد الإلكتروني - وهو مستند ممكّن بماكرو. وقد يلاحظ المستخدم اليقظ أن شيئًا مريبًا يحدث بينما يُظهر برنامج MS Word نافذة منبثقة للتحميل القياسية. إذا تم فتح المستند في وضع عدم الاتصال ، فلن يمثل الملف أي شيء خطير - على الأرجح ، سيبدو كنسخة من نوع ما من العقد أو مستند آخر غير ضار. ولكن إذا كان الكمبيوتر متصلاً بالإنترنت وقت فتح الملف ، فسيتم جلب مستند آخر ممكّن بماكرو إلى جهاز الضحية ، لنشر البرامج الضارة.
وتمتلك مجموعة APT هذه طرقًا مختلفة في ترسانة العدوى الخاصة بها وتقوم بتجميع سلسلة العدوى اعتمادًا على الموقف. إلى جانب مستندات Word المُسلَّحة ، ينشر الممثل أيضًا برامج ضارة متخفية كملفات اختصار Windows مضغوطة. يرسل المعلومات العامة للضحية ووكيل Powershell ، الذي يقوم بعد ذلك بإنشاء باب خلفي كامل الميزات. باستخدام هذا ، تنشر BlueNoroff أدوات ضارة أخرى لمراقبة الضحية: مسجل لوحة المفاتيح وصانع لقطات الشاشة. ثم يتتبع المهاجمون الضحايا لأسابيع وشهور: يجمعون ضغطات المفاتيح ويراقبون العمليات اليومية للمستخدم ، بينما يخططون لإستراتيجية للسرقة المالية. بعد العثور على هدف بارز يستخدم امتداد متصفح شائع لإدارة محافظ التشفير (على سبيل المثال ، امتداد Metamask) ، فإنهم يستبدلون المكون الرئيسي للامتداد بإصدار مزيف. وفقًا للباحثين ، يتلقى المهاجمون إشعارًا عند اكتشاف عمليات نقل كبيرة. عندما يحاول المستخدم المخترق تحويل بعض الأموال إلى حساب آخر ، فإنه يعترض عملية المعاملة ويضخ منطقه الخاص. لإكمال الدفع المبدئي ، ينقر المستخدم بعد ذلك على الزر "موافقة". في هذه اللحظة ، يقوم مجرمو الإنترنت بتغيير عنوان المستلم وتعظيم مبلغ المعاملة ، مما يؤدي بشكل أساسي إلى استنزاف الحساب في خطوة واحدة.
