كاسبرسكي تحذر: مجموعات قرصنة إجرامية تشتهر باستخدام العملات المشفرة لتمويل أنشطتها الإجرامية

 أجرت كاسبيرسكي مؤخرا تحقيقا يركز على الموت ، وهي وحدة من مجموعة لازاروس للجرائم الإلكترونية سيئة السمعة لعازر ، ووجدت تحولها على مر السنين.

شنت المجموعة هجوما على الشركات المرتبطة بالعملات المشفرة في جميع أنحاء العالم في عام 2019. في نهاية عام 2022 ، كان مسؤولا عن حملات تكنولوجيا المعلومات والشركات الأخرى العاملة في قطاع الدفاع في أوروبا وأمريكا اللاتينية وكوريا الجنوبية وأفريقيا.

يكشف تقرير كاسبرسكي الأخير عن تحول أهداف المجموعة ، فضلا عن تطوير وتحسين الأدوات والأساليب والإجراءات على مدى السنوات ال 4 الماضية.

لطالما كانت مجموعة لازاروس تستهدف باستمرار الشركات المتعلقة بالعملات المشفرة ، ولكن أثناء مراقبة أنشطتها ومراقبتها ، لاحظت كاسبيرسكي أن نفس المجموعة تستخدم برامج ضارة تغيرت بشكل كبير في حالة واحدة.

في منتصف 2019/10 ، اكتشف خبراء كاسبيرسكي وثائق مشبوهة تم تحميلها على موقع فايروس توتال.

استخدم مطورو البرامج الضارة مستندات خادعة تتعلق بأعمال العملة المشفرة ، مثل استبيان حول شراء العملة المشفرة ، ومقدمة حول عملة معينة ، ومقدمة أخرى حول تعدين البيتكوين. كانت هذه هي المرة الأولى التي تظهر فيها حملة" مذكرة الموت "المسماة" مذكرة الموت " للأفراد والشركات العاملة في العملات المشفرة في قبرص والولايات المتحدة وتايوان وهونغ كونغ.

في 2020/4 ، اكتشفت كاسبرسكي تحولا كبيرا في الأدوات والبرامج الضارة في وحدة دثنوت حيث وجد من خلال الأبحاث أنه تم استخدامه في هجمات ضد شركات السيارات في أوروبا الشرقية والمؤسسات الأكاديمية المتعلقة بقطاع الدفاع.

قامت المجموعة المسؤولة عن التهديد بتحويل جميع المستندات الخادعة المتعلقة بتوصيف الوظائف من المستندات المتعلقة بمقاولي الدفاع والدبلوماسية ، باستخدام ما يسمى "قانون حقن القالب عن بعد" على المستندات المستخدمة في الهجوم ، باستخدام أحد برامج طروادة كملف بدف مفتوح المصدر ، وخلق عمدا سلسلة خبيثة خاصة بها.1 لقد قمنا بتطوير مجموعة من التطبيقات. تؤدي كلتا طريقتي العدوى إلى قيام البرامج الضارة نفسها بتنزيل الوحدة النمطية (ملاحظة الموت) ، المسؤولة عن تنزيل معلومات الضحية.

وقالت كاسبرسكي إنه في 2021-5 ، قامت شركة أوروبية متخصصة في مجال تكنولوجيا المعلومات ، تعمل في مجال توفير حلول مراقبة الأجهزة للشبكات والخوادم ، باختراق وحدة دثنوت.

في أوائل 2021-6 ، بدأت نفس الوحدة من مجموعة لازاروس في استخدام آلية جديدة لتحقيق أهدافها في كوريا الجنوبية. ما كان لافتا للباحثين هو أن المرحلة الأولى من البرامج الضارة تم تنفيذها باستخدام برنامج شرعي يستخدم على نطاق واسع للأمن في كوريا الجنوبية.

أثناء مراقبة وحدة ملاحظة الموت في عام 2022 ، اكتشف باحثو كاسبرسكي أن المجموعة كانت مسؤولة عن هجمات على العديد من مقاولي الدفاع في أمريكا اللاتينية.

كانت الأدوات والبرامج الضارة مماثلة لتلك المستخدمة لإصابة الأهداف في قطاعات الدفاع الأخرى ، مثل: استخدام برنامج طروادة لقراءة ملفات بدف مع ملفات من نفس الشكل أعدت خصيصا لهذا الغرض. ومع ذلك ، في هذه الحالة بالذات ، اعتمد المهاجم على مخطط التحميل الجانبي لتوفير الحمل النهائي.

في إحدى الحملات المستمرة ، التي تم اكتشافها لأول مرة في 2022-7 ، وجد الباحثون أن مجموعة لازاروس قد تسللت بنجاح إلى العديد من مقاولي الدفاع في إفريقيا.

العدوى الأولى كانت تستخدم تطبيق بدف المشبوهة المرسلة عبر سكايب رسول. عند تشغيل قارئ بدف ، يتم إنشاء ملف كاميراسيتينغسويهوست المشروعة.إكس ، وملف ضار اسمه وثيقة الهوية الوحيدة 70.دل في الدليل نفسه.

وقال سيونغسو بارك ، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي العظيم في كاسبرسكي: "نحن نعمل مع كاسبرسكي لتحسين القدرات الأمنية والأمنية لمنصة كاسبرسكي ، ونحن نعمل مع فريق البحث والتحليل العالمي العظيم في كاسبرسكي لتحسين القدرات الأمنية والأمنية لمنصة كاسبرسكي."أصبحت مجموعة لعازر خطيرة للغاية لأن لديهم مهارات عالية. 

يكشف التحليل الذي أجريناه مع وحدة (ملاحظة الموت) أنها حققت التطور السريع للأساليب والتقنيات والإجراءات التي استمرت لسنوات عديدة. في هذه الحملة بالذات ، لم تقتصر أنشطة المجموعة على الشركات المتعلقة بالعملات المشفرة ، ولكنها هاجمت شركات الدفاع باستخدام كل من البرامج المشروعة والملفات الضارة. 

من الضروري العمل على أعلى مستوى من اليقظة واتخاذ تدابير استباقية حتى تتمكن الشركات من مواجهة أنشطتها الضارة بينما تواصل العمل على تحسين أساليبها في الهجمات الإجرامية".

لمزيد من المعلومات حول وحدة ملاحظة الموت في مجموعة لازاروس ، والمراحل المختلفة للحملة والتكتيكات والتقنيات والإجراءات التالية ، راجع تقرير سيكيورليست الكامل.

لتجنب الوقوع ضحية لهجمات مستهدفة من قبل جهات تهديد معروفة أو غير معروفة ، يوصي باحثو كاسبرسكي باتباع الإجراءات التالية:

• إجراء تدقيق للأمن السيبراني ومراقبة الشبكة باستمرار لتصحيح الثغرات الأمنية أو تصحيح العناصر الضارة المكتشفة في محيط الشبكة أو داخله.
• نظرا لأن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي وتقنيات الهندسة الاجتماعية الأخرى ، فإننا نقدم تدريبا على النظافة الإلكترونية لموظفينا.
• تثقيف الموظفين حول الحاجة إلى تنزيل البرامج وتطبيقات الهاتف المحمول فقط من مصادر موثوقة ومتاجر التطبيقات الرسمية.
• يمكنك استخدام أي برنامج للكشف عن نقطة النهاية للكشف عن الحوادث في الوقت المناسب والاستجابة للتهديدات المتقدمة. توفر خدمة الكشف والاستجابة المدارة من كاسبرسكي القدرات اللازمة لتتبع التهديدات ضد الهجمات المستهدفة.
• توظف حلول منع الاحتيال لحماية معاملات العملات المشفرة من خلال اكتشاف ومنع سرقة الحسابات والمعاملات غير المؤكدة وغسيل الأموال.