عصابة BlueNoroff تستنزف حسابات الشركات الناشئة في مجال العملات الرقمية
كشف خبراء كاسبرسكي الستار عن سلسلة من الهجمات التي شنتها عصابة التهديدات المتقدمة المستمرة BlueNoroff على الشركات الصغيرة والمتوسطة في أنحاء العالم، ما ألحق بها خسائر كبيرة في العملات الرقمية. وتستهدف الحملة، التي يُطلق عليها اسم SnatchCrypto ، العديد من الشركات التي تتعامل بالعملات الرقمية والعقود الذكية والأدوات المالية غير المركزية (DeFi) والبلوك تشين والتقنيات المالية.
وأساءت عصابة BlueNoroff، بمهارة عالية، استغلال ثقة الموظفين العاملين في الشركات المستهدفة، عبر إرسال منفذ خلفي خاص بالنظام Windows ويعمل بمزايا كاملة بينها المراقبة، وذلك تحت ستار “عقد” أو ملف عمل آخر. وطورت العصابة موارد واسعة وخطرة، تتضمّن بنية تحتية معقدة وعمليات استغلال وغرسات من البرمجيات الخبيثة، بهدف إفراغ محافظ العملات الرقمية الخاصة بالضحايا المستهدفين.
وتُعدّ BlueNoroff جزءًا من عصابة Lazarus، وتستخدم هيكلها المتنوِّع وتقنياتها المتطورة في شنّ الهجمات. وتشتهر Lazarus بشنّ هجمات على البنوك والخوادم المتصلة بنظام التحويلات المصرفية SWIFT، وشاركت أيضًا في إنشاء شركات وهمية لتطوير برمجيات خاصة بالعملات الرقمية، ليُقدِم عملائها المخدوعون على تثبيت ما يبدو أنها تطبيقات سليمة، لتصلهم بعد فترة تحديثات برمجية خبيثة عبر المنفذ الخلفي المذكور.
وقد تحوّل “فرع” Lazarus هذا، حديثًا، إلى مهاجمة الشركات الناشئة العاملة في مجال العملات الرقمية، التي لا يمكنها استثمار الكثير من المال في نظم الأمن الداخلي الخاصة بها، نظرًا لأن معظمها تُصنّف ضمن الشركات الصغيرة والمتوسطة ذات الموازنات المالية المحدودة. وتُدرك العصابة هذه النقطة إدراكًا جيدًا وتُتقن استغلالها باستخدام مخططات احتيال مُتقنة قائمة على مبادئ الهندسة الاجتماعية.
وتتظاهر BlueNoroff بأنها إحدى شركات الاستثمارات الرأسمالية لكسب ثقة ضحاياها. وقد كشف باحثو كاسبرسكي الستار عن أن العصابة استغلّت أسماء أكثر من 15 شركة استثمارية وأسماء موظفين عاملين فيها خلال حملة SnatchCrypto. ويرى الخبراء أيضًا أن الشركات التي استُغلّت أسماؤها لا علاقة لها بهذا الهجوم أو رسائل البريد الإلكتروني الاحتيالية التي أُرسلت تحت مظلته.
ويعزو الخبراء اختيار مجرمي الإنترنت مجال العملات الرقمية إلى أنه من الطبيعي أن تتلقّى الشركات الناشئة رسائل أو ملفات من مصادر غير مألوفة، نظرًا لحداثة عهدها بالسوق، كأن ترسل شركة استثمارية، مثلًا، عقدًا أو ملفات تجارية أخرى إلى شركة ناشئة ما، وهو ما تستخدمه العصابات طُعمًا لدفع الضحايا إلى فتح الملف المرفق بالبريد الإلكتروني، والذي لا يكون عادة سوى مستنَد مُمكَّن بماكرو.
المستخدم اليقِظ قد يلاحظ أن شيئًا مريبًا يحدث أثناء إظهار MS Word نافذة التحميل الاعتيادية
ولا يمثل الملف أي خطر إذا فُتح في وضع عدم الاتصال بالإنترنت، إذ سيبدو على الأرجح نسخة من عقد أو مستند ما غير ضار. ولكن إذا كان الحاسوب متصلًا بالإنترنت وقت فتح الملف، فإن الملف سيجلب ملفًا آخر ممكّنًا بماكرو إلى جهاز الضحية، لتوظيف البرمجية الخبيثة.
وتمتلك عصابة التهديدات المتقدمة المستمرة هذه طرقًا مختلفة في ترسانتها التخريبية، وتجمّع سلسلة الإصابة اعتمادًا على الموقف. فبجانب مستندات Word المفخخة، تُوظّف العصابة برمجيات الخبيثة متخفية بصفة ملفات اختصار مضغوطة خاصة بالنظام Windows. كذلك ترسل المعلومات العامة للضحية ووكيل واجهة الأوامر النصية Powershell، لإنشاء باب خلفي بمزايا كاملة تستخدمه BlueNoroff لتوظيف أدوات خبيثة أخرى لمراقبة الضحية، تتضمّن أداة تسجيل الضربات على لوحة المفاتيح وأداة لأخذ لقطات الشاشة.
ويتتبع المهاجمون الضحايا لأسابيع وشهور، يجمعون خلالها الضربات على لوحات المفاتيح ويراقبون العمليات اليومية للمستخدمين، فيما يضعون الخطط لسرقة الأموال. وبعد العثور على هدف بارز يَستخدم امتداد متصفح شائع لإدارة محافظ العملات الرقمية (مثل الامتداد Metamask)، تُسارع العصابة إلى وضع إصدار مزيف محلّ المكون الرئيس للامتداد.
ووفقًا للباحثين، يتلقى المهاجمون إشعارًا عند اكتشاف محاولة للشروع في عملية تحويل مالية كبيرة للعملات الرقمية، عندما يحاول المستخدم المخترق تحويل بعض الأموال إلى حساب آخر، فإنه يعترض هذه العملية ويضخّ عناصر عمله الخاصة. ويغيّر مجرمو الإنترنت عنوان المستلم ويرفعون مبلغ معاملة التحويل في اللحظة التي ينقر فيها المستخدم على زر Approve لإكمال المعاملة، وذلك لاستنزاف الحساب في حركة واحدة.
العصابة حاليًا تنشط وتهاجم المستخدمين بغض النظر عن موقعهم الجغرافي
وأوصى سونغسو بارك الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، الشركات الصغيرة، لا سيما العاملة مع محافظ العملات الرقمية، بالحرص على تثقيف موظفيها بشأن ممارسات الأمن الرقمي الأساسية، مشيرًا إلى أن المهاجمين يجدّدون باستمرار أساليبهم في الخداع وإساءة الاستخدام. وقال: “لا بأس في استخدام خدمات العملات الرقمية وامتداداتها، لكن ينبغي للشركات إدراك أن هذا المجال هدف جذاب لعصابات التهديدات المتقدمة المستمرة ولمجرمي الإنترنت، لذلك، يجب الحرص على حمايته جيدًا”.
اقرا ايضا : استراتيجيات كاسبرسكي لحماية رقم الهاتف و الحفاظ على أمان الهوية الرقمية
يمكن مطالعة التقرير الكامل حول BlueNoroff على Securelist.
وتوصي كاسبرسكي الشركات باتباع التدابير التالية لحماية أنفسها:
• تزويد الموظفين بالتدريب الأساسي على الأمن الرقمي، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيد أو المحاولات القائمة على أساليب الهندسة الاجتماعية.
• إجراء تدقيق على الأمن الرقمي للشبكات ومعالجة أي ثغرات مكتشفة في محيط الشبكة أو داخلها.
• من الصعب العثور على أداة زرع الامتداد المزيف يدويًا، إلا إذا كان المسؤول الأمني معتادًا على قاعدة بيانات Metamask. ومع ذلك، فإن تعديل امتداد Chrome يترك أثرًا، إذ يجب تحويل المتصفح إلى وضعية “المطور” Developer Mode وتثبيت امتداد Metamask من دليل محلي بدلاً من متجر عبر الإنترنت. فإذا كان الامتداد آتيًا من متجر ما، فإن Chrome يفرض التحقق من صحة التوقيع الرقمي للشيفرة لضمان سلامتها. لذلك ينبغي في حالة الشك المسارعة إلى التحقق من امتداد Metamask وإعدادات Chrome.
• تثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات عند النقاط الطرفية والاستجابة لها، ما يتيح اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب.
• تزويد فريق مركز العمليات الأمنية بالقدرة على الوصول إلى أحدث معلومات التهديدات وإكسابهم المهارات بانتظام من خلال التدريب المهني، وهذا كله متاح ضمن منظومة Kaspersky Expert Security.
• يمكن أن تساعد الخدمات التخصصية، مثل الخدمة المُدارة لاكتشاف التهديدات والاستجابة لها من كاسبرسكي Kaspersky Managed Detection and Response، في الحماية من الهجمات عالية المستوى، عبر تحديد الهجمات وإيقافها في مراحلها الأولى، قبل أن يحقق المهاجمون أهدافهم.