آنتی ویروس پادویش
امنیت

هکرهای کره شمالی از شرکت‌های جعلی کریپتو و استخدام‌های فریبنده برای انتشار بدافزار استفاده می‌کنند

شرکت‌های جعلی کریپتو

فهرست مطالب

هکرهای مرتبط با کره شمالی با استفاده از شرکت‌های جعلی فعال در حوزه ارزهای دیجیتال و وعده‌های استخدام جذاب، بدافزارهای خود را منتشر می‌کنند. این گروه با ایجاد شرکت‌های صوری و صفحات جعلی در شبکه‌های اجتماعی، سعی در فریب قربانیان و آلوده کردن سیستم‌های آن‌ها به بدافزارهای خطرناک دارند. در تازه‌ترین اقدام، FBI دامنه یکی از این شرکت‌های جعلی را مسدود کرده است.

گیفت کارت

به گزارش زوم تک از  هَکِر نیوز، بازیگران تهدید مرتبط با کره شمالی که پیش‌تر در حملات “مصاحبه آلوده” (Contagious Interview) دست داشته‌اند، شرکت‌های صوری راه‌اندازی کرده‌اند تا از این طریق در جریان فرآیندهای استخدام جعلی، بدافزار توزیع کنند.

استفاده از سه شرکت صوری برای انتشار بدافزار

شرکت امنیت سایبری سایلنت پوش (Silent Push) در یک تحلیل عمیق اعلام کرد: “در این کارزار جدید، این گروه تهدید از سه شرکت صوری در صنعت مشاوره ارزهای دیجیتال—BlockNovas LLC (blocknovas[.]com)، Angeloper Agency (angeloper[.]com) و SoftGlide LLC (softglide[.]co)—برای انتشار بدافزار از طریق وعده‌های فریبنده استخدام استفاده می‌کند.”

به گفته این شرکت، این فعالیت برای توزیع سه خانواده بدافزار شناخته شده مختلف، BeaverTail، InvisibleFerret و OtterCookie، به کار گرفته می‌شود.

روش‌های فریبنده استخدام

“مصاحبه آلوده” یکی از چندین کارزار مهندسی اجتماعی با موضوع استخدام است که توسط کره شمالی سازماندهی شده تا قربانیان را به دانلود بدافزارهای چندسکویی تحت پوشش تکالیف کدنویسی یا رفع مشکل مرورگر هنگام روشن کردن دوربین در طول ارزیابی ویدیویی ترغیب کند.

این فعالیت توسط جامعه گسترده امنیت سایبری با نام‌های CL-STA-0240، DeceptiveDevelopment، DEV#POPPER، Famous Chollima، UNC5342 و Void Dokkaebi ردیابی می‌شود.

استفاده از شرکت‌های صوری و حساب‌های جعلی در شبکه‌های اجتماعی

استفاده از شرکت‌های صوری برای انتشار بدافزار، همراه با ایجاد حساب‌های جعلی در فیس‌بوک، لینکدین، پینترست، X، مدیوم، گیت‌هاب و گیت‌لب، نشان‌دهنده تشدید فعالیت این بازیگران تهدید است که پیش از این از تابلوهای اعلانات شغلی مختلف برای فریب قربانیان استفاده می‌کردند.

سایلنت پوش اعلام کرد: “شرکت صوری BlockNovas ادعا می‌کند ۱۴ نفر برای آن‌ها کار می‌کنند، با این حال بسیاری از مشخصات کارمندان […] جعلی به نظر می‌رسند. هنگام مشاهده صفحه ‘درباره ما’ وب‌سایت blocknovas[.]com از طریق Wayback Machine، این گروه ادعا کرده که بیش از ۱۲ سال است که فعالیت می‌کند—که ۱۱ سال بیشتر از زمان ثبت قانونی این کسب‌وکار است.”

زنجیره آلودگی و بدافزارهای مورد استفاده

حملات منجر به استقرار یک ابزار سرقت اطلاعات مبتنی بر جاوااسکریپت به نام BeaverTail می‌شود که سپس برای انتشار یک درب پشتی پایتون به نام InvisibleFerret مورد استفاده قرار می‌گیرد. InvisibleFerret می‌تواند پایداری خود را در سیستم‌عامل‌های ویندوز، لینوکس و macOS حفظ کند. همچنین مشاهده شده است که برخی زنجیره‌های آلودگی از طریق همان بارگذاری جاوااسکریپت مورد استفاده برای запуска BeaverTail، بدافزار دیگری با نام رمز OtterCookie را نیز ارائه می‌دهند.

استفاده از ارزیابی‌های ویدیویی برای انتشار بدافزارهای دیگر

مشاهده شده است که BlockNovas از ارزیابی‌های ویدیویی برای توزیع FROSTYFERRET و GolangGhost با استفاده از ترفندهای مرتبط با ClickFix استفاده می‌کند، تاکتیکی که پیش از این در ماه جاری توسط Sekoia، که این فعالیت را با نام ClickFake Interview ردیابی می‌کند، شرح داده شده بود.

قابلیت‌های بدافزار BeaverTail و InvisibleFerret

BeaverTail برای برقراری ارتباط با یک سرور خارجی (“lianxinxiao[.]com”) برای فرمان و کنترل (C2) پیکربندی شده است تا InvisibleFerret را به عنوان بار ثانویه ارائه دهد. این بدافزار دارای ویژگی‌های مختلفی برای جمع‌آوری اطلاعات سیستم، راه‌اندازی یک شل معکوس، دانلود ماژول‌های اضافی برای سرقت داده‌های مرورگر، فایل‌ها و آغاز نصب نرم‌افزار دسترسی از راه دور AnyDesk است.

زیرساخت مخرب و ابزارهای مورد استفاده هکرها

تحلیل بیشتر زیرساخت مخرب، وجود یک “Status Dashboard” را نشان داده است که بر روی یکی از زیردامنه‌های BlockNovas میزبانی می‌شود تا دیدی نسبت به چهار دامنه آن‌ها داشته باشد: lianxinxiao[.]com، angeloperonline[.]online و softglide[.]co.

همچنین یک زیردامنه جداگانه به نام mail.blocknovas[.]com یافت شده است که یک سیستم مدیریت کرک پسورد توزیع شده و متن‌باز به نام Hashtopolis را میزبانی می‌کند. تلاش‌های استخدام جعلی منجر به دسترسی غیرمجاز به کیف پول MetaMask حداقل یک توسعه‌دهنده در سپتامبر ۲۰۲۴ شده است.

ابزار Kryptoneer برای هدف قرار دادن کیف پول‌های ارز دیجیتال

این همه ماجرا نیست. به نظر می‌رسد بازیگران تهدید ابزاری به نام Kryptoneer را نیز بر روی دامنه attisscmo[.]com میزبانی می‌کنند که امکان اتصال به کیف پول‌های ارز دیجیتال مانند Suiet Wallet، Ethos Wallet و Sui Wallet را فراهم می‌کند.

سایلنت پوش گفت: “این احتمال وجود دارد که بازیگران تهدید کره شمالی تلاش‌های بیشتری برای هدف قرار دادن بلاک چین Sui انجام داده باشند، یا این دامنه ممکن است در فرآیندهای درخواست شغلی به عنوان نمونه‌ای از ‘پروژه رمزنگاری’ که روی آن کار می‌شود، استفاده شود.”

هدف قرار دادن متخصصان فناوری اطلاعات اوکراینی

BlockNovas، طبق یک گزارش مستقل منتشر شده توسط Trend Micro، در دسامبر ۲۰۲۴ نیز یک موقعیت شغلی برای مهندس نرم‌افزار ارشد در لینکدین تبلیغ کرد و به طور خاص متخصصان فناوری اطلاعات اوکراینی را هدف قرار داد.

مسدود شدن دامنه BlockNovas توسط FBI

در تاریخ ۲۳ آوریل ۲۰۲۵، دامنه BlockNovas توسط اداره تحقیقات فدرال ایالات متحده (FBI) به عنوان بخشی از یک اقدام قانونی علیه بازیگران سایبری کره شمالی به دلیل استفاده از آن برای “فریب افراد با آگهی‌های شغلی جعلی و توزیع بدافزار” توقیف شد.

استفاده از ابزارهای هوش مصنوعی برای ایجاد تصاویر پروفایل جعلی

علاوه بر استفاده از سرویس‌هایی مانند Astrill VPN و پروکسی‌های مسکونی برای مبهم‌سازی زیرساخت و فعالیت‌های خود، جنبه قابل توجه این فعالیت مخرب، استفاده از ابزارهای مبتنی بر هوش مصنوعی مانند Remaker برای ایجاد تصاویر پروفایل است.

ردپای IPهای روسی در این حملات

این شرکت امنیت سایبری در تحلیل کارزار “مصاحبه آلوده” اعلام کرد که پنج محدوده IP روسی را شناسایی کرده است که برای انجام این عملیات مورد استفاده قرار گرفته‌اند. این آدرس‌های IP توسط یک لایه VPN، یک لایه پروکسی یا یک لایه RDP پنهان شده‌اند.

محققان امنیتی Feike

به این پست امتیاز بدید

مطالب مرتبط

نظرات در مورد : هکرهای کره شمالی از شرکت‌های جعلی کریپتو و استخدام‌های فریبنده برای انتشار بدافزار استفاده می‌کنند

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *