تهديد العملات الرقمية المرتبط بكوريا الشمالية: جوجل ومانديانت يكشفان عن حملة برمجيات خبيثة متقدمة

منديانت، قسم الأمن السيبراني التابع لGoogle Cloud، كشف عن عملية تهديد تتصاعد بسرعة مرتبطة بكوريا الشمالية تستهدف بشكل خاص بورصات العملات الرقمية والمنصات المالية التقنية. ويُعد هذا الاكتشاف توسعًا كبيرًا في الأنشطة الخبيثة التي يتابعها خبراء الأمن منذ عام 2018. مجموعة الجهات الفاعلة في التهديد، المعروفة باسم UNC1069، تمثل واحدة من أكثر الحملات تطورًا التي تهدد مشهد أخبار العملات الرقمية، حيث تستخدم أدوات متقدمة وتقنيات خداع تعتمد على الذكاء الاصطناعي لاختراق شركات الأصول الرقمية.

سبع عائلات برمجيات خبيثة مصممة لسرقة البيانات

كشفت التحقيقات عن عملية اختراق منسقة بشكل عالي أدت إلى نشر سبع عائلات برمجيات خبيثة مختلفة، كل منها مصمم بقدرات جمع بيانات محددة. ومن بين هذه، ثلاث سلالات جديدة حظيت باهتمام خاص من قبل خبراء الأمن:

• SILENCELIFT: برمجية خبيثة متطورة تهدف إلى إنشاء قنوات اتصال وتحكم مستمرة
• DEEPBREATH: برمجية خبيثة متقدمة مصممة لتجاوز آليات أمان نظام التشغيل واستخراج معلومات حساسة من المضيف
• CHROMEPUSH: أداة مصممة خصيصًا لسرقة بيانات اعتماد الضحايا وبياناتهم الشخصية مع تجنب أنظمة الكشف

وفقًا لتقرير مندياانت المفصل، تمثل هذه النسخ من البرمجيات الخبيثة توسعًا متعمدًا لقدرات الجهات الفاعلة في التهديد، حيث تظهر تقنيات متقدمة في الهندسة العكسية وفهم عميق لنظامي Windows و macOS.

التزييف العميق المدعوم بالذكاء الاصطناعي وClickFix الهندسة الاجتماعية

ما يجعل هذه الحملة خطيرة بشكل خاص هو دمج الذكاء الاصطناعي في تكتيكات التلاعب الاجتماعي. قام المهاجمون باختراق حسابات Telegram شرعية ونظموا اجتماعات Zoom مزيفة بشكل متقن، تتضمن فيديوهات deepfake مولدة بواسطة الذكاء الاصطناعي لأشخاص موثوق بهم. تزيد هذه التقنية بشكل كبير من معدل نجاح هجمات الهندسة الاجتماعية الموجهة لشركات العملات الرقمية.

كما استغلوا تقنية تعرف باسم هجمات ClickFix، حيث يتم التلاعب بالضحايا لتنفيذ أوامر نظام مخفية من خلال تفاعلات تبدو شرعية. يتجاوز هذا النهج التدريب التقليدي على الوعي الأمني ويستغل النفسية البشرية بدلاً من الثغرات التقنية.

التداعيات على صناعة العملات الرقمية

استهداف شركات العملات الرقمية والتكنولوجيا المالية يشير إلى أن الجهات المرتبطة بكوريا الشمالية تواصل إعطاء أولوية لسرقة الأصول الرقمية كهدف رئيسي. وهذا يمثل تهديدًا مباشرًا لمستخدمي البورصات، ومنصات التداول، ومزودي بنية blockchain التحتية حول العالم.

يجب على فرق الأمن التي تدير منصات العملات الرقمية أن تقوم فورًا بـ:

• مراجعة سياسات حماية النقاط النهائية ضد التهديدات المستمرة والمتقدمة
• تطبيق المصادقة متعددة العوامل على جميع الأنظمة الحيوية
• إجراء تدريبات توعية أمنية تركز على الهندسة الاجتماعية المدعومة بالذكاء الاصطناعي
• مراقبة مؤشرات الاختراق المرتبطة بعائلات برمجيات UNC1069 الخبيثة

هذا التصعيد في التهديدات يبرز أهمية الحفاظ على وضع أمني يقظ داخل منظومة أخبار العملات الرقمية وتنفيذ استراتيجيات دفاعية متعددة الطبقات لحماية الأصول الرقمية وبيانات المستخدمين من الجهات المهددة المدعومة من الدول.