قالت شركة مايكروسوفت إن شركات استثمارات العملات المشفرة تعرضت للاستهداف عبر مجموعة تليغرام التي تُستخدم للتواصل مع عملاء الشركات المهمين، وذلك بواسطة مجموعة تهديد أطلقت عليها اسم ديف-0139، بحسب موقع Bleeping Computer الأمريكي.
وكشف فريق استخبارات التهديدات الأمنية في الشركة عن ذلك الاستهداف قائلاً: “فتحت شركة مايكروسوفت مؤخراً تحقيقاً في أمر هجومٍ نفذه طرفٌ مُهدِّد يجري تتبعه تحت اسم ديف-0139، واستغل خلاله مجموعات الدردشة على تليغرام لاستهداف شركات استثمارات العملات المشفرة. وانضم ديف-0139 إلى مجموعات تليغرام المستخدمة لتسهيل التواصل بين كبار العملاء وبين منصات تداول العملات المشفرة، ثم بدأ في تحديد أهدافه بين الأعضاء”.
وفي 19 أكتوبر/تشرين الأول، وجّه المهاجمون من ذوي المعرفة الواسعة باستثمارات التشفير دعوةً إلى واحد من الأهداف على الأقل للانضمام إلى مجموعة تليغرام أخرى (متظاهرين بأنهم ممثلين عن شركة أخرى لإدارة الأصول المشفرة). ثم سأل المهاجمون في المجموعة الجديدة ضحاياهم عن رأيهم في هيكل رسوم منصة التداول التي يستخدمونها.
وبعد أن كسبت الأطراف المهاجمة ثقة أهدافها، بعثوا إلى المجموعة بجدول بيانات إكسل خبيث بعنوان “مقارنة رسوم كبار العملاء في أو كيه إكس وبينانس وهوبي OKX Binance & Huobi VIP fee comparision”. وتضمن المستند مقارنة بيانات بين رسوم كبار الشخصيات في منصات التداول المشفرة الثلاث، ومن المرجح أن البيانات الواردة فيه كانت دقيقةً لزيادة المصداقية.
وبمجرد أن يفتح الضحية المستند ويُمكّن عمل وحدات الماكرو، تقوم ورقة عمل ثانية في الملف بتنزيل وتقسيم ملف بامتداد PNG من أجل استخراج ملف خبيث بامتداد DLL (مكتبة الربط الديناميكي). ويمثل ملف DLL بوابة خلفية بترميز XOR (بوابة فصل إقصائي)، ونافذةً لملف ويندوز تنفيذي شرعي يمكن استخدامه لاحقاً لتنزيل ملفات DLL جانبياً.
ويعمل ملف DLL على تشفير وتحميل باب خلفي يمنح المهاجمين وصولاً عن بُعد إلى نظام تشغيل الضحية المُخترق.
وأوضحت مايكروسوفت: “يجري تأمين ورقة العمل الرئيسية في مستند إكسل بكلمة مرور دراغون من أجل تشجيع الضحية على تنشيط وحدات الماكرو. وتُرفع الحماية عن الملف بعد تثبيت وتشغيل ملف إكسل الآخر المُخزن بصيغة ترميز الأساس 64 Base64. ومن المرجح أن المخترقين يستخدمون هذه الطريقة حتى يخدعوا المستخدم ويقنعوه بتفعيل وحدات الماكرو دون أن يشك في شيء”.
وأرسل ديف-0139 حمولةً خبيثة ثانية خلال حملته الجارية، وتمثلت في حزمة مُثبِّت ويندوز MSI لتطبيق CryptoDashboardV2. مما يُشير إلى كونهم المسؤولين عن هجمات أخرى باستخدام نفس الآلية من أجل تثبيت الحمولات المُخصَّصة.
ولم تنسب الشركة ذلك الهجوم إلى مجموعة بعينها، بل اختارت ربط الهجوم بالنشاط التهديدي لمجموعة ديف-0139. بينما نشرت شركة الاستخبارات Volexity نتائجها الخاصة حول الهجوم في عطلة نهاية الأسبوع، وربطت الهجوم بمجموعة لازاروس الكورية الشمالية.
وقالت Volexity إن المخترقين الكوريين الشماليين استخدموا جدول بيانات مقارنة الرسوم لنشر برمجية أبلجيس AppleJeus الخبيثة، التي استخدمتها مجموعة لازاروس في الاستيلاء على العملات المشفرة وعمليات سرقة الأصول الرقمية من قبل.
ولاحظت Volexity أن مجموعة لازاروس استخدمت موقعاً مستنسخاً من منصة هاس أونلاين HaasOnline، المختصة بالتداول الآلي للعملات المشفرة، وذلك لنشر نسخة مخترقة بشفرة حصان طروادة من تطبيق BloxHolder. وتعمل النسخة المخترقة على تثبيت برمجية أبلجيس الخبيثة داخل تطبيق QTBitcoinTrader.
وقالت مايكروسوفت إنها حذرت العملاء الذين تعرضوا للاختراق أو الاستهداف في تلك الهجمات، وشاركت معهم المعلومات اللازمة لتأمين حساباتهم.
وتُعَدّ مجموعة لازاروس من أشهر مجموعات المخترقين التي تعمل خارج كوريا الشمالية، وبدأت نشاطها قبل أكثر من عقد كامل في عام 2009 تقريباً.
ويشتهر أعضاء المجموعة بهجومهم على أهداف رفيعة المستوى عالمياً، بما في ذلك المصارف ومؤسسات وسائل الإعلام والوكالات الحكومية.
ويُعتقد أن المجموعة هي المسؤولة عن العديد من الهجمات السيبرانية المعروفة مثل اختراق شركة سوني عام 2014، وهجمات برمجية الفدية واناكراي عام 2017.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.