في تطور جديد يُسلّط الضوء على استمرار التهديدات السيبرانية القادمة من كوريا الشمالية، كشفت شركة كاسبرسكي عن حملتين معقّدتين تستهدفان قطاعي البلوكشين والويب 3، عُرفتا باسم GhostCall وGhostHire، تقودهما مجموعة القرصنة المعروفة باسم BlueNoroff، وهي فرع تابع لمجموعة Lazarus سيئة السمعة.
وتعدّ هذه الحملات امتدادًا لعمليات أوسع تحت مظلة مشروع تجسسي طويل الأمد يُعرف باسم SnatchCrypto، الذي يستهدف منذ عام 2017 شركات العملات الرقمية، وصناديق الاستثمار، والمطوّرين التقنيين العاملين في بيئة البلوكشين.
شبكة BlueNoroff.. ذراع مالية لمجموعة لازاروس
بحسب كاسبرسكي، فإن مجموعة BlueNoroff، المعروفة أيضًا بأسماء مستعارة مثل APT38 وCryptoCore وSapphire Sleet، تُعدّ أحد الأذرع المتخصصة في سرقة الأصول الرقمية وتمويل الأنشطة السيبرانية لكوريا الشمالية. وتستهدف هذه المجموعة في المقام الأول المديرين التنفيذيين، وروّاد الأعمال، والمستثمرين في شركات التقنية، مستخدمةً تقنيات هندسة اجتماعية دقيقة وشبه شخصية عبر منصات التواصل والتوظيف مثل تليجرام ولينكد إن.
وتشير نتائج البحث إلى أن حملة GhostCall ركّزت على الأجهزة العاملة بنظام macOS في دول مثل اليابان، وفرنسا، وسنغافورة، وإيطاليا، في حين استهدفت GhostHire المطوّرين في اليابان وأستراليا، مع تفرعات محدودة في الهند وهونغ كونغ.
GhostCall.. مكالمات مزيفة وسلاسل إصابة متقدمة
تكشف كاسبرسكي أن حملة GhostCall صُمّمت لاستهداف القيادات التنفيذية في شركات التقنية ورؤوس الأموال الاستثمارية عبر خدعة متقنة تستند إلى مكالمات فيديو وهمية تحاكي اجتماعات Zoom.
يقوم المهاجمون بالتواصل مع الضحايا مباشرة عبر تليجرام، ثم دعوتهم إلى اجتماع افتراضي “مرتبط بالاستثمار” عبر موقع مزيّف يشبه منصة Zoom، حيث تُعرض لقطات فيديو حقيقية مُسجّلة من ضحايا سابقين، وليست مقاطع “ديب فيك”، وذلك لإضفاء طابع المصداقية.
خلال المكالمة المزيفة، يُطلب من الضحية “تحديث” برنامج Zoom عبر ملف سكربت يُرسل في المحادثة. وما إن يقوم المستخدم بتنفيذ السكربت حتى تبدأ عملية تنزيل ملفات مضغوطة (ZIP) تحتوي على سلاسل برمجية خبيثة مصمّمة خصيصًا لنظام التشغيل قيد الاستخدام.
وفي حال كان النظام macOS، يتم تشغيل سكربت AppleScript يقوم بتنصيب تطبيق مزيف يحمل شعار Zoom، في حين تُستخدم تقنية ClickFix على أجهزة ويندوز لتشغيل أوامر PowerShell تُطلق عملية الإصابة.
ومنذ سبتمبر الماضي، لوحظ انتقال المجموعة إلى استغلال منصة Microsoft Teams بدل Zoom، مع تكتيك مشابه يقوم على دفع الضحية إلى تحميل حزمة SDK مزيفة لبدء تسلسل العدوى.
يتضمن السكربت الخبيث برنامجًا يُعرف باسم DownTroy، يهدف إلى استخراج كلمات المرور من مديري كلمات السر، وتنزيل برمجيات إضافية بصلاحيات الجذر، وتجاوز نظام أمان macOS المعروف باسم TCC (Transparency, Consent, and Control).
ومن بين السلاسل التي أُدرجت ضمن الحملة ما يلي:
-
ZoomClutch / TeamsClutch: تطبيقات خادعة تطلب من المستخدم إدخال كلمة المرور بدعوى استكمال التحديث، وتقوم بإرسالها إلى خادم خارجي.
-
CosmicDoor: باب خلفي مكتوب بلغة Nim قادر على تنفيذ أوامر عن بعد ومسح الملفات بشكل تدميري عند تشغيله بوضعية خاصة.
-
RooTroy وRealTimeTroy: برمجيات مكتوبة بلغة Go تتولى جمع معلومات النظام والملفات وتشغيل عمليات مراقبة مستمرة عبر بروتوكول WSS.
-
SneakMain وDownTroy v2: وحدات إضافية تُمكّن المهاجمين من تحميل سكربتات جديدة وتنفيذ أوامر AppleScript عن بُعد.
إحدى أكثر الوحدات تعقيدًا هي SilentSiphon، وهي مجموعة أدوات لسرقة بيانات الاعتماد من تطبيقات واسعة النطاق تشمل Apple Notes، Telegram، GitHub، AWS، Azure، Docker، Kubernetes، وحتى OpenAI، ما يعكس طموح المجموعة في الوصول إلى كل ما يمكن أن يمنحها سيطرة على البنية التحتية الرقمية للضحايا.
GhostHire.. التوظيف الزائف كمدخل للاختراق
أما حملة GhostHire فقد اعتمدت أسلوبًا أكثر دهاءً عبر انتحال شخصيات توظيف مزيفة. يقوم المهاجمون بالاتصال بالمطورين العاملين في قطاع Web3 عبر تليجرام، مدّعين تمثيل شركات مالية أميركية مرموقة، مع ربطهم بملفات لينكد إن مزيفة تعزز المصداقية.
بعد التواصل الأولي، يُضاف الضحية إلى قناة يديرها بوت يحمل شعار الشركة المزعومة، ويدّعي أنه يسهّل عملية التقييم الفني للمرشحين. يقوم البوت بإرسال ملف ZIP يحتوي على “مشروع برمجي” لتجربة المهارة، مع مهلة قصيرة لا تتجاوز 30 دقيقة لإنجاز المهمة، وهي حيلة تهدف إلى دفع المستخدم لتنفيذ الشيفرة بسرعة دون تفكير أمني.
الملف المرسل يحتوي على تبعية خبيثة داخل مشروع برمجي بلغة Go، وغالبًا ما تكون وحدة وهمية مستضافة على GitHub مثل “uniroute”. بمجرد تشغيل المشروع، تُفعّل السلسلة الخبيثة تلقائيًا لتحديد نظام التشغيل (ويندوز أو لينكس أو macOS) ثم تحميل الحمولة المناسبة.
وعلى أجهزة ويندوز، يقوم البرنامج الخبيث DownTroy بتنزيل برمجيات أخرى مثل RooTroy وRealTimeTroy ونسخة Go من CosmicDoor، إضافة إلى Bof، وهو محمّل مكتوب بلغة Rust يقوم بفك تشفير وتنفيذ shellcode مخزّن في مجلد النظام.
توحيد البنية التحتية واستخدام الذكاء الاصطناعي
توضح كاسبرسكي أن البنية التحتية للحملتين موحدة وتعمل تحت منظومة تحكم واحدة، ما يعني أن كلا السلسلتين – GhostCall وGhostHire – تُدار ضمن خطة عملياتية منسقة. كما لاحظ الباحثون أن المجموعة استخدمت أدوات الذكاء الاصطناعي التوليدي، وخاصة GPT-4o، في تحسين الصور المزيفة وتعزيز واقعية حسابات التوظيف والشخصيات الوهمية.
وأضافت الشركة أن اعتماد المهاجمين على الذكاء الاصطناعي لا يقتصر على الجانب الاجتماعي فقط، بل يمتد إلى تسريع تطوير البرمجيات الخبيثة وصقل بنيتها متعددة الأنظمة، وهو ما يفسر قدرة المجموعة على استهداف ويندوز وmacOS ولينكس في وقت متزامن، مع تقليل الجهد التشغيلي.
وأشار الخبراء إلى أن استراتيجية BlueNoroff تجاوزت سرقة العملات المشفّرة أو بيانات الاعتماد، لتصل إلى الاستحواذ الكامل على البنية الإنتاجية والتطويرية للضحايا، بما في ذلك منصات التواصل الداخلية، وأدوات التعاون، وأنظمة إدارة الأكواد والبيانات الحساسة.
وتعكس هذه الحملات – وفق وصف كاسبرسكي – مزيجًا فريدًا من الهندسة الاجتماعية المتقدمة، والتقنيات متعددة المنصات، والاستخدام الذكي للذكاء الاصطناعي، مما يجعلها من أخطر الحملات التي استهدفت مجتمع البلوكشين العالمي خلال العام الجاري.
