كشفت شركة Huntress للأمن السيبراني عن هجوم سيبراني متقدم نفذته مجموعة القرصنة BlueNoroff التابعة لكوريا الشمالية، استهدف موظفًا في مؤسسة تعمل بمجال Web3، عبر مكالمات Zoom مزيفة تم فيها استخدام تقنيات الذكاء الاصطناعي العميق (Deepfake) لتقليد شخصيات تنفيذية بارزة داخل شركته، ما أدى إلى خداعه وتنصيبه برمجية خبيثة على جهاز Apple macOS الخاص به.
كيف بدأ الهجوم؟
أوضحت التحليلات أن الموظف تلقى رسالة على تطبيق Telegram من جهة خارجية تطلب ترتيب مكالمة، حيث زُوِّد برابط من منصة Calendly لتحديد موعد اجتماع. الرابط الظاهري كان يشير إلى مكالمة على Google Meet، لكنه عند النقر عليه يعيد التوجيه إلى نطاق Zoom مزيف مملوك للجهة المهاجمة.
بعد أسابيع، انضم الموظف إلى اجتماع جماعي على Zoom ضم شخصيات مزيفة تم إنشاؤها باستخدام تقنية Deepfake لمحاكاة مسؤولين تنفيذيين حقيقيين في مؤسسته. وعندما أبلغهم بعدم عمل الميكروفون، طلبوا منه تنزيل إضافة لبرنامج Zoom.
الرابط، المُرسل عبر Telegram، حمل ملف AppleScript خبيث . ورغم أنه يفتح موقع Zoom الشرعي، إلا أنه يخفي داخله سلسلة من الأوامر لتحميل حمولة خبيثة من خادم بعيد وتنفيذ سكربت shell مخصص.
تسلسل الهجوم والحمولات الخبيثة
وظائف السكربت الأولي:
-
إيقاف سجل أوامر الطرفية (bash history)
-
التحقق من وجود Rosetta 2 وتثبيته إن لم يكن موجودًا (لتشغيل برامج x86 على معالجات Apple Silicon)
-
إنشاء ملف مخفي
-
تحميل ملفات تنفيذية خبيثة
-
طلب إدخال كلمة مرور النظام
-
مسح سجل الأوامر لتجنب تتبع الهجوم
البرمجيات الخبيثة المكتشفة:
-
Telegram 2: ملف بلغة Nim يبدأ تشغيل الباب الخلفي الرئيسي
-
Root Troy V4: باب خلفي بلغة Go يسمح بتنفيذ أوامر AppleScript وتحميل برمجيات خبيثة إضافية
-
InjectWithDyld: محمل بلغة ++C يسقط تطبيق Swift شرعي لتسهيل “حقن العمليات”، بالإضافة إلى ملف Nim يمكنه تنفيذ أوامر بشكل غير متزامن
-
XScreen: مسجل ضغطات مفاتيح بلغة Objective-C يرصد لوحة المفاتيح والحافظة والشاشة ويرسل البيانات لخادم تحكم
-
CryptoBot: أداة تجسس على ملفات العملات الرقمية
-
NetChk: ملف عديم الوظيفة حاليًا، يولّد أرقامًا عشوائية إلى ما لا نهاية
من هي مجموعة BlueNoroff؟
تُعرف هذه المجموعة كذلك بأسماء:
Alluring Pisces، APT38، TA444، Stardust Chollima، Copernicium، وهي فرع ضمن مجموعة Lazarus السيئة السمعة. وتُتهم بالضلوع في عمليات سطو إلكتروني على بنوك، شركات عملات رقمية، وأجهزة صراف آلي لتمويل النظام الكوري الشمالي.
من أبرز عملياتها:
-
اختراق Bybit في فبراير 2025
-
اختراق Axie Infinity في مارس 2022
-
حملة TraderTraitor الشهيرة التي استخدمت تطبيقات تداول مزيفة لاستهداف باحثين في مجال البلوكتشين
وبحسب شركة DTEX، فإن مجموعة APT38 قد تم تفكيكها فعليًا، وتحولت إلى مجموعتين جديدتين هما:
-
TraderTraitor (المعروفة أيضًا باسم Jade Sleet وUNC4899)
-
CryptoCore (المعروفة بأسماء عديدة مثل CageyChameleon وDangerousPassword)
حملة ClickFake Interview: خدعة توظيف وهمي عبر ClickFix
يبدو أن هذا الهجوم الأخير تطور عن حملة سابقة تُدعى Contagious Interview، حيث تُستخدم إشعارات أعطال مزيفة لإقناع الضحايا بتنفيذ أوامر خبيثة يدويًا، تحت ذريعة إصلاح أعطال بالكاميرا أو الميكروفون.
الإصدار الأحدث من هذه الحملة – المعروف باسم ClickFake Interview – يعتمد على إعلانات وظائف وهمية في شركات مثل Archblock وCoinbase وRobinhood وUniswap، ويوجه الضحايا إلى مواقع مزيفة تطلب منهم تنفيذ أوامر ضارة.
البرمجيات المستخدمة:
-
GolangGhost: نسخة مبنية بلغة Go تستهدف مستخدمي macOS
-
PylangGhost: نسخة مبنية بلغة Python تستهدف مستخدمي Windows
-
كل منهما يُنشئ اتصالًا بخادم تحكم عن بُعد ويستطيع:
-
تنفيذ أوامر
-
تحميل ورفع ملفات
-
سرقة بيانات الدخول وكوكيز أكثر من 80 إضافة في المتصفح، بما يشمل مديري كلمات المرور ومحافظ العملات الرقمية
-
الملاحظ أن مستخدمي Linux لم يتم استهدافهم في هذه الحملات الحديثة.
