جاكرتا - تشتهر LinkedIn كمكان للعثور على وظائف أو توظيف موظفين جدد ، ولكن في وقت لاحق كانت الشبكة الاجتماعية المهنية موبوءة بالبرامج الضارة تحت ستار عروض العمل المزيفة.
وجدت شركة استخبارات التهديدات Mandiant أن الحملة مستمرة منذ يونيو 2022. ويعتقد أن العقل المدبر وراء عملية الاحتيال هذه هو مجموعة قراصنة من أصل كوري شمالي.
غالبا ما تنتهك المجموعة ، Lazarus المعروفة باسم Operation Dream Job ، أنظمة مستخدمي العملات المشفرة. يقومون بحملة برامج ضارة جديدة من خلال الاستفادة من عروض العمل المزيفة على LinkedIn لجذب ضحاياهم.
في البداية ، نشروا عروض عمل مزيفة في وسائل الإعلام والتكنولوجيا والصناعات الدفاعية تحت ستار المجندين الشرعيين.
في الواقع ، قاموا أيضا بتقليد وسائل الإعلام في نيويورك تايمز في إعلان واحد. لكن مانديانت يعتقد أن الحملة الجديدة تأتي من مجموعة منفصلة ل Lazarus ، وهي فريدة من نوعها لأن البرامج الضارة TouchMove و SideShow و TouchShift المستخدمة في الهجمات لم يسبق لها مثيل من قبل.
بعد أن استجاب المستخدمون لعرض عمل LinkedIn ، واصل المتسللون العملية على WhatsApp ، حيث سيشاركون مستند Word يحتوي على ماكرو ضار ، ثم يقومون بتثبيت حصان طروادة من موقع WordPress الذي اخترقه المتسللون واستخدموه كمركز تحكم خاص بهم.
يقوم حصان طروادة هذا ، المستند إلى TightVNC والمعروف باسم LidShift ، بدوره بتحميل مكون إضافي ضار Notepad ++ يقوم بتنزيل البرامج الضارة المعروفة باسم LidShot ، ثم ينشر الحمولة النهائية على الجهاز ، الباب الخلفي PlankWalk.
بعد ذلك ، استخدم المتسللون قطارة برامج ضارة تسمى TouchShift ، والتي كانت مخفية في ملف ثنائي لنظام Windows. يحتوي على كمية كبيرة من المحتوى الضار الإضافي ، بما في ذلك TouchShot و TouchKey ، وأدوات لقطة الشاشة وأدوات رصد لوحة المفاتيح ، على التوالي ، بالإضافة إلى مكالمات محمل TouchMove.
بهذه الطريقة ، يتم إنشاء باب خلفي آخر يسمى SideShow ، حيث سيحصل المتسللون على درجة عالية من التحكم في النظام المضيف ، مثل القدرة على تحرير السجل وتغيير إعدادات جدار الحماية وتشغيل أحمال إضافية.
استخدم المتسللون أيضا برامج CloudBurst الضارة على الشركات التي لا تستخدم شبكات VPN ، مما أدى إلى إساءة استخدام خدمة إدارة نقاط النهاية من Microsoft Intune ، كما هو مقتبس من TechRadar ، الثلاثاء ، 14 مارس.
لم يفلت المتسللون أيضا من استغلال عيب يوم الصفر في ASUS Driver7.sys ، والذي تستخدمه حمولة أخرى تسمى LightShow لتصحيح إجراءات kernel في برنامج حماية نقطة النهاية ، ومنع الكشف. حاليا ، تم تصحيح العيب.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)