أساتذة جامعيون مستهدفون من قبل مجموعة التجسس الإلكتروني الكورية الشمالية
تم ربط جهة التهديد المرتبطة بكوريا الشمالية والمعروفة باسم Kimsuky بمجموعة جديدة من الهجمات التي تستهدف موظفي الجامعات والباحثين والأساتذة لأغراض جمع المعلومات الاستخبارية.
شركة الأمن السيبراني Resilience قال حددت النشاط في أواخر يوليو 2024 بعد أن لاحظت خطأ في أمن العمليات (OPSEC) ارتكبه المتسللون.
تعد Kimsuky، المعروفة أيضًا بأسماء APT43 وARCHIPELAGO وBlack Banshee وEmerald Sleet وSpringtail وVelvet Chollima، مجرد واحدة من عدد لا يحصى من الفرق السيبرانية الهجومية التي تعمل تحت إشراف حكومة كوريا الشمالية وجيشها.
كما أنها نشطة للغاية، وغالبًا ما تستفيد من حملات التصيد الاحتيالي كنقطة انطلاق لتقديم مجموعة متزايدة باستمرار من الأدوات المخصصة لإجراء الاستطلاع وسرقة البيانات وإنشاء وصول مستمر عن بعد إلى المضيفين المصابين.
تتميز الهجمات أيضًا باستخدام الأجهزة المضيفة المخترقة كبنية تحتية مرحلية لنشر نسخة مبهمة من غلاف الويب Green Dinosaur، والذي يتم استخدامه بعد ذلك لتنفيذ عمليات الملفات. كان استخدام Kimuksy لقذيفة الويب هو أبرزت سابقا بواسطة الباحث الأمني Blackorbird في مايو 2024.
يتم بعد ذلك إساءة استخدام الوصول الذي يوفره Green Dinosaur لتحميل صفحات تصيد معدة مسبقًا تم تصميمها لتقليد بوابات تسجيل الدخول الشرعية لـ Naver والجامعات المختلفة مثل جامعة Dongduk وجامعة كوريا وجامعة Yonsei بهدف الاستيلاء على بيانات اعتمادهم.
بعد ذلك، تتم إعادة توجيه الضحايا إلى موقع آخر يشير إلى مستند PDF مستضاف على Google Drive والذي يُزعم أنه دعوة إلى منتدى أغسطس لمعهد Asan للدراسات السياسية.
وقال باحثو Resilience: “بالإضافة إلى ذلك، توجد في مواقع التصيد الاحتيالي الخاصة بـ Kimsuky مجموعة أدوات تصيد محددة غير مستهدفة لجمع حسابات Naver”.
“مجموعة الأدوات هذه عبارة عن وكيل بدائي يشبه Evilginx لسرقة ملفات تعريف الارتباط وبيانات الاعتماد من الزوار وتظهر النوافذ المنبثقة التي تخبر المستخدمين أنهم بحاجة إلى تسجيل الدخول مرة أخرى بسبب انقطاع الاتصال بالخادم.”
وقد سلط التحليل الضوء أيضًا على العادة PHP ميلر الأداة التي يستخدمها Kimsuky تسمى SendMail، والتي تُستخدم لإرسال رسائل البريد الإلكتروني التصيدية إلى الأهداف باستخدام حسابات Gmail وDaum Mail.
لمكافحة التهديد، يوصى بأن يقوم المستخدمون بتمكين المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي (MFA) وفحص عناوين URL قبل تسجيل الدخول.
إرسال التعليق