حمله هکرهای کره شمالی به محققان امنیتی با روشی متفاوت و استفاده از لینکدین

هکرهای وابسته به دولت کره شمالی ظاهراً مدتی است که در یک حمله سازمان‌یافته، محققان امنیتی را هدف قرار داده‌اند. یکی از تکنیک‌های جدید آن‌ها استفاده از لینکدین برای جعل هویت و استخدام این محققان است تا به‌نحوی یک فایل آلوده را برای آن‌ها ارسال و با دسترسی به سیستم قربانی بتوانند به شرکت محل کار آن‌ها نفوذ کنند.

شرکت امنیت سایبری Mandiant اخیراً در گزارشی اعلام کرده است که اولین‌بار این حملات را در ماه ژوئن سال گذشته شناسایی کرده و متوجه شده است که هکرها یک فرد آمریکایی را هدف قرار داده بودند. مهاجمان در این حملات از سه گروه بدافزار به نام‌های Touchmove ,Slideshow و Touchshift استفاده می‌کردند.

هکرهای کره شمالی تظاهر می‌کنند به‌دنبال جذب نیرو هستند

این شرکت باور دارد که گروه هکری موسوم به UNC2970 در ماه‌های گذشته به‌طور خاص محققان امنیتی و همچنین چند شرکت رسانه‌ای را هدف قرار داده است. هکرها همچنین حمله‌ای را در قالب استخدام محققان ترتیب داده بودند تا آن‌ها را برای نصب بدافزار روی دستگاه خود فریب دهند.

در این حمله مهاجمان حساب‌هایی را به‌شکل تقلبی روی لینکدین ایجاد می‌کنند تا خود را به‌جای کارشناسان نیروی انسانی دیگر شرکت‌ها جا بزنند. سپس در گفت‌وگو با محققان، از آن‌ها می‌خواهند تا فایلی را دانلود کنند. این فایل معمولاً یک فایل ورد مایکروسافت است که بدافزاری به‌صورت ماکرو در آن کار گذاشته شده و پس از اجرا توسط قربانی می‌تواند سیستم او را آلوده کند.

درنهایت کدهایی از سمت سرور کنترل و فرمان به سیستم قربانی داده می‌شد تا یک در پشتی در دستگاه باز شود و هکرها بتوانند سایر بدافزارهای خود را به‌صورت مخفیانه روی سیستم نصب کنند. Mandiant می‌گوید اگرچه گروه UNC2970 قبلاً صنایع دفاعی، فناوری و رسانه را هدف قرار داده بود، اما حرکت به‌سمت پژوهشگران امنیتی می‌تواند از روشی در استراتژی این گروه خبر دهد.