كشفت تقارير حديثة عن تبني مجموعة القرصنة الكورية الشمالية “Kimsuky” المعروفة أيضاً بأسماء مثل “Emerald Sleet” و”Velvet Chollima”، لتكتيك هندسة اجتماعية جديد مستوحى من أسلوب “ClickFix” الشائع في عالم الجرائم الإلكترونية.
ويُستخدم هذا الأسلوب في هجمات تصيد تستهدف أفراداً داخل منظمات الشؤون الدولية والمنظمات غير الحكومية والوكالات الحكومية ووسائل الإعلام في أمريكا الشمالية والجنوبية وأوروبا وشرق آسيا، وفقاً لما أوردته مايكروسوفت.
طريقة استهداف الضحايا
يتظاهر القراصنة بأنهم مسؤولون حكوميون من كوريا الجنوبية، ويعملون على بناء علاقة ثقة تدريجية مع الضحية عبر البريد الإلكتروني. وعند تحقيق مستوى معين من الثقة، يتم إرسال رسالة تحتوي على مرفق PDF مخادع. وعند محاولة فتحه، يتم توجيه الضحية إلى صفحة تسجيل وهمية تطلب تنفيذ أوامر PowerShell بصلاحيات المسؤول، ما يسمح للقراصنة بتنزيل أدوات تحكم عن بُعد وسرقة البيانات.
ما هدف هذه الهجمات؟
عند تنفيذ الأوامر، يتم تثبيت أداة سطح مكتب بعيد عبر المتصفح، وتحميل شهادة باستخدام رمز PIN ثابت، ثم تسجيل جهاز الضحية على خادم خارجي، مما يمنح المهاجمين وصولاً كاملاً إلى البيانات المخزنة على النظام.
تحذيرات مايكروسوفت وإجراءات الحماية
رصدت مايكروسوفت هذا التكتيك مؤخرا في هجمات محدودة النطاق، مؤكدةً أن Kimsuky تطور استراتيجياتها باستمرار لاستهداف جهات ذات أهمية استخباراتية، كما قامت الشركة بإخطار الجهات المتضررة، داعية الجميع إلى توخي الحذر عند التعامل مع رسائل غير متوقعة، وتجنب تنفيذ أي أوامر غير مألوفة.
كيف نحمي أنفسنا؟
التحقق من هوية المرسل قبل فتح أي مرفقات أو النقر على الروابط.
عدم تشغيل أوامر PowerShell غير مألوفة، خاصةً بصلاحيات المسؤول.
استخدام حلول أمنية قوية قادرة على رصد التهديدات المتطورة.
تفعيل المصادقة المتعددة العوامل لحماية الحسابات من الاختراق.
تبقى الهندسة الاجتماعية إحدى أبرز الأدوات في ترسانة القراصنة، ما يجعل الوعي الأمني والتدقيق في مصادر الرسائل الإلكترونية خط الدفاع الأول ضد هذه الهجمات.
