استخدم المتسللون الكوريون الشماليون شركات تشفير مزيفة لتقديم البرامج الضارة في عمليات الاحتيال الوظيفية
تعزز مجموعة القرصنة التي ترعاها الدولة في كوريا الشمالية ، لازاروس ، تكتيكاتها بنهج أكثر مصقولًا وخادعًا.
أ تقرير كشفت شركة Silent Push على أنها شركة Silent Push ، أن المجموعة قد أنشأت شركات تشفير مزيفة مقرها الولايات المتحدة لتوزيع البرامج الضارة المتخفعة كفرص عمل.
وفقًا للتقرير ، فإن مجموعة فرعية من Lazarus تسمى “مقابلة معدية” تقف وراء تسجيل ثلاث شركات استشارية للتشفير الاحتيالية: Blocknovas LLC ، وكالة Angeloper ، و SoftGlide LLC.
ذكرت شركة الأمن أن الشركات الثلاث تم إنشاؤها لتبدو وكأنها لاعبين شرعيين في صناعة blockchain. ومع ذلك ، تم استخدام شركات الصدفة هذه لجذب المطورين في مقابلات عمل مزيفة.
أشار زاك إدواردز ، كبير محللي التهديدات في Silent Push ، إلى أن هذه ليست المرة الأولى التي يستخدم فيها Lazarus مقابلة العمل ، لكنها النسخة الأكثر تقدماً التي شوهدت حتى الآن.
هو قال:
“لقد عبروا الآن روبيكون – إنهم على استعداد لتسجيل شركة مزيفة والذهاب إلى جميع عمليات فحص KYC المفترضة التي تنطوي على هذه العملية ، وكانوا ناجحين في هذا الجهد.”
البرامج الضارة متنكرا كأدوات مقابلة
تتضمن عملية المقابلة المزيفة عادة طلب فيديو تمهيدي. عندما يحاول المتقدمون تحميل الفيديو ، فإنهم يواجهون خطأ. بعد ذلك ، تم إعطاؤهم حلًا سريعًا لأمر نسخ ولصق يسلم سراً البرامج الضارة.
قال إدواردز:
“أثناء عملية طلب الوظيفة ، يتم عرض رسالة خطأ عندما يحاول شخص ما تسجيل فيديو مقدمة وأن” الحل “سهلة النقر”.
حددت Silent Push ثلاث سلالات مميزة للبرامج الضارة المستخدمة في هذه الحملة: Beavertail ، Invisibleferret ، و OtterCookie. تتيح هذه الأدوات للمتسللين الوصول عن بُعد إلى أجهزة الضحايا وتسمح لهم باستخلاص المعلومات الحساسة.
يستخدم المهاجمون خدمات مثل Astrill VPN والوكلاء السكنيين لتغطية مساراتهم ، مما يجعل تتبع البنية التحتية الخاصة بهم.
الهويات التي تولدها الذكاء الاصطناعي
إلى جانب البرامج الضارة ، يعتمد المهاجمون الكوريون الشماليون اعتمادًا كبيرًا على شخصيات منظمة العفو الدولية المزيفة لأداء أنشطتهم الشائنة.
وجد Silent Push أن ممثلي التهديد يستخدمون أدوات الذكاء الاصطناعى مثل Remaker AI لإنشاء صور موظف مزيفة. في بعض الأحيان ، يغيرون الصور الحقيقية لإنشاء ملفات تعريف خادعة تبدو أصيلة تقريبًا.
قال إدواردز:
“هناك العديد من الموظفين المزيفين والصور المسروقة من أناس حقيقيين يتم استخدامهم عبر هذه الشبكة … في أحد [cases]، التقط ممثلو التهديد صورة حقيقية من شخص حقيقي ، ثم بدا أنه قام بتشغيلها من خلال “أداة معدل الصور AI” لإنشاء نسخة مختلفة بمهارة من تلك الصورة نفسها. “
يمثل هذا التطور تطورًا خطيرًا في الجرائم الإلكترونية يستهدف مساحة التشفير. إن مزيج البرامج الضارة والهندسة الاجتماعية والهويات التي يتم إنشاؤها من الذكاء الاصطناعى تشير إلى تهديد متزايد.
وخلص إدواردز:
“يعد هذا التحقيق مثالًا مثاليًا على ما يحدث عندما يستمر الممثلون في التهديد في زيادة جهودهم في حملة واحدة بعد المقبل ، دون مواجهة العدالة.”
