مدیر اجرایی ارزهای دیجیتال هدف هکرهای کره شمالی

به گزارش کارگروه حملات سایبری سایبربان؛ به گفته کارشناسان، هکرهای کره شمالی با چندین بدافزار منحصر به فرد در کنار چندین کلاهبرداری، از جمله یک جلسه جعلی زوم، یک مقام رسمی در یک شرکت ارز دیجیتال را هدف قرار دادند.

شرکت ماندیانت (Mandiant) متعلق به گوگل، بررسی دقیقی از حمله اخیر مربوط به «UNC1069»، یک عامل تهدید با انگیزه مالی مستقر در کره شمالی، منتشر کرد که به دلیل میزان متناسب‌سازی و هدف‌گیری قربانی، برجسته بود.

هکرها در ابتدا از طریق تلگرام با استفاده از حساب هک شده یکی دیگر از مدیران اجرایی ارز دیجیتال با قربانی تماس گرفتند. برای قربانی یک لینک «Calendly» برای یک جلسه 30 دقیقه‌ای که حاوی لینک جلسه زوم (Zoom) بود، ارسال شد.

ماندیانت توضیح داد:

«قربانی گزارش داد که در طول تماس، ویدئویی از مدیرعامل یک شرکت ارز دیجیتال دیگر به آنها ارائه شد که به نظر می‌رسید دیپ‌فیک باشد. درحالی‌که ماندیانت نتوانست شواهد پزشکی قانونی را برای تأیید مستقل استفاده از مدل‌های هوش مصنوعی در این مورد خاص بازیابی کند، این ترفند گزارش شده مشابه یک حادثه گزارش شده قبلی با ویژگی‌های مشابه است که در آن ظاهراً از دیپ‌فیک نیز استفاده شده است.»

وقتی قربانی در جلسه بود، هکرها ادعا کردند که مشکلات صوتی وجود دارد و باعث شدند که از قربانی بخواهند چندین اقدام را روی دستگاه خود انجام دهد تا ظاهراً آنها را حل کند. این مشکلات، حیله‌ای برای پوشش حمله «ClickFix» بود، تکنیکی که در آن هکرها با وادار کردن قربانی به تلاش برای حل مشکلات فنی ساختگی، بدافزار را روی دستگاه نصب می‌کنند.

در این مورد، قربانی به یک صفحه وب با دستورالعمل‌های عیب‌یابی برای سیستم‌های «macOS» و سیستم‌های ویندوز هدایت می‌شد. در رشته دستورات، یک خط وجود داشت که زنجیره آلودگی را آغاز می‌کرد.

قربانی دستورات عیب‌یابی را دنبال کرد و دستگاه macOS او آلوده شد.

اولین فایل‌های مخرب، که ماندیانت آنها را «WAVESHAPER» و «HYPERCALL» نامید، درهای پشتی هستند که به هکرها اجازه می‌داد ابزارهای دیگری را نصب کنند که جای پای خود را در دستگاه قربانی گسترش می‌دادند.

ماندیانت اعلام کرد که دو داده‌کاوی مختلف به نام‌های «DEEPBREATH» و «CHROMEPUSH» را پیدا کرده که توسط عوامل تهدید استفاده می‌شدند. DEEPBREATH به هکرها کمک کرد تا اعتبارنامه‌ها، داده‌های مرورگر، داده‌های کاربر از تلگرام و سایر داده‌ها را از «Apple Notes» بدزدند. این بدافزار تمام اطلاعات را در یک آرشیو زیپ فشرده و آن را به یک سرور راه دور منتقل کرد.

CHROMEPUSH ابزاری مخرب است که طوری ساخته شده که شبیه یک افزونه مرورگر بی‌ضرر برای ویرایش آفلاین «Google Docs» به نظر برسد. اما این ابزار در واقع ضربات کلید، نام‌های کاربری و رمزهای عبور ردیاب‌ها را ثبت می‌کند، کوکی‌های مرورگر و موارد دیگر را می‌دزدد.

پاسخ‌دهندگان به این حادثه خاطرنشان کردند که این حمله شامل مقدار غیرمعمول زیادی ابزار است که روی یک میزبان واحد با هدف قرار دادن یک فرد واحد قرار داده شده که باعث شد آنها باور کنند که این یک حمله مشخص است که برای سرقت هرچه بیشتر اطلاعات طراحی شده است.

آنها عنوان کردند که احتمالاً برای یک هدف دوگانه بوده است:

«امکان سرقت ارزهای دیجیتال و دامن زدن به کمپین‌های مهندسی اجتماعی آینده با سوءاستفاده از هویت و داده‌های قربانی.»

ماندیانت اظهار داشت که از سال ۲۰۱۸ این گروه هکری را ردیابی کرده و از آن زمان تاکنون شاهد تحولات چشمگیری در مهارت‌های تجاری خود، به ویژه در هدف قرار دادن اخیر صرافی‌های متمرکز، توسعه‌دهندگان نرم‌افزار در مؤسسات مالی، شرکت‌های فناوری پیشرفته و افراد در صندوق‌های سرمایه‌گذاری خطرپذیر، بوده است. این شرکت امنیت سایبری توضیح داد:

«اگرچه UNC1069 در مقایسه با گروه‌های دیگری مانند «UNC4899» در سال ۲۰۲۵ تأثیر کمتری بر سرقت‌های ارز دیجیتال داشته، اما همچنان یک تهدید فعال است که صرافی‌های متمرکز و نهادها و افراد را برای کسب سود مالی هدف قرار می‌دهد. این گروه در سال ۲۰۲۵ فعال بوده و خدمات مالی و صنعت ارز دیجیتال را در پرداخت‌ها، کارگزاری‌ها، سهام‌گذاری و زیرساخت‌های کیف پول هدف قرار داده است.»

UNC1069 از جلسات جعلی زوم و انواع ابزارهای هوش مصنوعی در حملات خود به نهادهای شرکتی و همچنین افراد در صنعت ارز دیجیتال استفاده کرده است. ماندیانت ادعا کرد که گروه هکری کره شمالی از ابزار هوش مصنوعی جمینی (Gemini) گوگل برای انجام تحقیقات عملیاتی، توسعه ابزارها و موارد دیگر استفاده می‌کند.

ماه گذشته در سازمان ملل، مقامات آمریکایی مدعی شدند که ده‌ها کشور با سرقت‌های ارز دیجیتال انجام شده توسط هکرهای کره شمالی برخورد کرده‌اند. این کشور متهم به سرقت بیش از ۲ میلیارد دلار ارز دیجیتال در سال ۲۰۲۵ است.