حمله هکرهای کره شمالی به کارمندان سازمان‌های مرتبط با انرژی هسته‌ای

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، طبق گزارش شرکت امنیت سایبری کسپرسکی (Kaspersky)، این اقدامات نشان‌دهنده تکامل کمپین گروه لازاروس (Lazarus) کره شمالی است که به منظور نفوذ به دستگاه‌های کارکنان صنایع حساس از طریق فرصت‌های شغلی جعلی انجام می‌شود.

محققان روش‌های مشابهی با حملات گذشته مشاهده کردند، اما این حملات شامل پیچش‌های نگران‌کننده‌ای بود.

کسپرسکی نام یا مکان این سازمان تحت تأثیر را فاش نکرد.

گروه لازاروس معمولاً حملات خود را برای اهداف مالی انجام می‌دهد.

محققان یک زنجیره آلودگی پیچیده کشف کردند که شامل چندین نوع بدافزار از جمله دانلودر (downloader)، لودر (loader) و درب پشتی (backdoor) بود و نشان‌دهنده پیشرفت روش‌های توزیع و ماندگاری این گروه است.

آلودگی اولیه از طریق ابزاری جعلی برای شبکه مجازی کامپیوتری (VNC) اتفاق افتاد که تحت عنوان آزمون مهارت به قربانیان ارسال می‌شد.

یکی از بدافزارهای شناسایی‌شده در دستگاه‌های آلوده، کوکی تایم (CookieTime) بود که برای دانلود انواع دیگر بدافزارها، از جمله یک بدافزار ماژولار جدید به نام کوکی پلاس (CookiePlus) استفاده شد.

محققان توضیح دادند:

مشکل برای مدافعان سایبری این است که کوکی پلاس می‌تواند درست مانند یک دانلودر رفتار کند. این موضوع تحقیقات را دشوار می‌کند، زیرا مشخص نمی‌شود که آیا کوکی پلاس فقط یک پلاگین کوچک دانلود کرده یا محموله مهم بعدی را. طبق تحلیل ما، این بدافزار همچنان در حال توسعه است، به این معنی که لازاروس ممکن است در آینده پلاگین‌های بیشتری اضافه کند.

به طور جداگانه، شرکت امنیت سایبری کره جنوبی ایسک (ASEC) روز دوشنبه هشدار داد که گروه هکری دیگری به نام آنداریل (Andariel) که تحت حمایت دولت کره شمالی است، از بدافزار اسمال تایگر (SmallTiger) برای سوءاستفاده از نرم‌افزارهای مدیریت دارایی داخلی و به عنوان یک راه‌حل متمرکزسازی اسناد استفاده می‌کند.

گروه آنداریل تاکنون حملات جاسوسی و باج‌افزاری انجام داده است.

علاوه بر این، هفته گذشته شرکت تحلیل بلاکچین چین آنالیسیس (Chainalysis) گزارش داد که هکرهای مرتبط با دولت کره شمالی تا سال ۲۰۲۴ در ۴۷ حمله، حداقل ۱.۳۴ میلیارد دلار ارز دیجیتال سرقت کرده‌اند.