هک نهادهای اوکراینی توسط هکرهای کره شمالی

به گزارش کارگروه حملات سایبری سایبربان؛ هکرهای تحت حمایت دولت کره شمالی حملاتی را علیه نهادهای دولتی و سایر سازمان‌ها در اوکراین انجام دادند. به نظر می‌رسد که این کشور می‌خواهد مشخص کند که آیا روسیه در جنگ جاری درخواست نیرو یا تسلیحات بیشتری خواهد کرد یا خیر.

کره شمالی کمپین‌های فیشینگ را با هدف جمع‌آوری اطلاعات اعتباری و ارسال بدافزار اجرا کرده است. برخلاف فعالیت‌های جنگ سایبری روسیه که معطوف به کسب اطلاعات تاکتیکی میدان نبرد یا ایجاد اختلال است، هکرهای کره شمالی بر جمع‌آوری اطلاعات استراتژیک تمرکز دارند؛ آنها به وضعیت سیاسی و نظامی اوکراین علاقه‌مند هستند تا از تصمیم‌گیری این کشور در مورد تعهدات نظامی به روسیه حمایت کنند.

شرکت امنیت سایبری پروف‌پوینت (Proofpoint) در گزارشی اعلام کرد:

«کره شمالی در پاییز 2024 نیروهایی را برای کمک به روسیه اعزام کرد و «TA406» به احتمال زیاد در حال جمع‌آوری اطلاعات برای کمک به رهبری کره شمالی در تعیین خطر فعلی برای نیروهایش است که از قبل در صحنه هستند و همچنین احتمال اینکه روسیه درخواست نیرو یا تسلیحات بیشتری کند.»

این شرکت امنیتی، عامل تهدید را TA406 نامگذاری کرده، اما با نام‌های «Opal Sleet» یا «Konni» نیز شناخته می‌شود. فعالیت‌های آن قبلاً با «Kimsuky» و «Thallium» همپوشانی داشته است. پروف‌پوینت از فوریه ۲۰۲۵ حملات سایبری علیه اوکراین توسط این هکرها را ردیابی کرده است.

تکیه بر جعل هویت و فیشینگ

هکرهای جمهوری دموکراتیک خلق کره (DPRK) خود را به جای اعضای اندیشکده‌های ساختگی معرفی و ایمیل‌های فیشینگ ارسال می‌کنند و اهداف را با محتوای سیاسی مرتبط، عمدتاً براساس رویدادهای اخیر، فریب می‌دهند.

ایمیل‌های فیشینگ حاوی فایل‌های HTML و CHM (راهنمای کامپایل شده HTML مایکروسافت) پیوست شده با اسکریپت‌های مخرب پاورشِل (PowerShell) هستند که بدافزار را مستقر می‌کنند. برای فرار از شناسایی، هکرها فایل‌ها را در یک بایگانی RAR محافظت شده با رمز عبور بسته‌بندی می‌کنند.

یک نمونه فیشینگ که توسط پروف‌پوینت مشاهده شد، شامل یک عضو ارشد ساختگی در یک اندیشکده غیرموجود به نام مؤسسه سلطنتی مطالعات استراتژیک بود. این فریب مربوط به والری زالوژنی (Valeriy Zaluzhnyi)، رهبر سابق نظامی اوکراین، بود.

اگر کاربری فایل HTML مخرب را باز کند، یک اسکریپت پاورشِل اجرا می‌شود که بسته‌های اضافی را دانلود و اجرا می‌کند. در این گزارش توضیح داده شده است:

«در مرحله بعدی، فایل پاورشِل چندین دستور را برای جمع‌آوری اطلاعات در مورد میزبان قربانی اجرا می‌کند. این دستورات شامل ipconfig /all، systeminfo و همچنین دستوراتی برای گرفتن نام فایل‌های اخیر و اطلاعات دیسک و دستوراتی برای استفاده از WMI با هدف جمع‌آوری اطلاعات در مورد هرگونه ابزار ضدویروس نصب شده روی میزبان است.»

به گفته محققان، TA406 با ارسال پیام‌های هشدار امنیتی جعلی مایکروسافت از حساب‌های «Proton Mail» یا ارائه آرشیوهای زیپ حاوی پی‌دی‌اف‌های بی‌خطر و همچنین فایل‌های LNK مخرب که پاورشِل رمزگذاری شده با «Base64» را اجرا می‌کنند، در تلاش برای جمع‌آوری اعتبارنامه‌ها است.

محققان نتیجه‌گیری کردند:

«پروف‌پوینت ارزیابی کرده که TA406 نهادهای دولتی اوکراین را هدف قرار می‌دهد تا اشتیاق برای ادامه مبارزه علیه تهاجم روسیه را بهتر درک کند و چشم‌انداز میان‌مدت این درگیری را ارزیابی نماید.»