يستغل المتسللون الكوريون الشماليون أداة Find Hub من Google لتتبع موقع GPS لأهدافهم وإعادة ضبط أجهزة Android عن بُعد على إعدادات المصنع.
تستهدف الهجمات في المقام الأول الكوريين الجنوبيين، وتبدأ بالتواصل مع الضحايا المحتملين عبر برنامج KakaoTalk messenger، وهو تطبيق المراسلة الفورية الأكثر شعبية في البلاد.
وتربط شركة حلول الأمن السيبراني الكورية الجنوبية Genians النشاط الضار بمجموعة أنشطة KONNI، والتي “has overlapping targets and infrastructure with Kimsuky and APT37.”
“https://www.bleepstatic.com/c/w/wiz/AI-Data-Security-970×250.png” البديل=”Wiz”>
يشير KONNI عادةً إلى أداة الوصول عن بعد التي تم ربطها بهجمات قراصنة كوريا الشمالية في مجموعات APT37 (ScarCruft) وKimsuky (Emerald Sleet) التي استهدفت قطاعات متعددة (مثل التعليم والحكومة والعملات المشفرة).
وفقًا لـ Genians، تصيب حملة KONNI أجهزة الكمبيوتر التي تحتوي على أحصنة طروادة التي يمكن الوصول إليها عن بُعد والتي تتيح إمكانية تسرب البيانات الحساسة.
يتم إجراء مسح أجهزة Android لعزل الضحايا وحذف آثار الهجوم وتأخير عملية الاسترداد وإسكات التنبيهات الأمنية. على وجه التحديد، تؤدي إعادة التعيين إلى فصل الضحايا عن جلسات KakaoTalk للكمبيوتر الشخصي، والتي يخطفها المهاجمون بعد المسح لنشرها إلى جهات اتصال أهدافهم.
سلسلة العدوى
وتستهدف حملة KONNI، التي حللها فريق Genians، الضحايا عبر رسائل التصيد الاحتيالي التي تخدع دائرة الضرائب الوطنية في كوريا الجنوبية، والشرطة، والوكالات الأخرى.
بمجرد قيام الضحية بتنفيذ مرفق MSI الموقع رقميًا (أو ملف ZIP الذي يحتوي عليه)، يقوم الملف باستدعاء ملف مضمن install.bat و خطأ.vbsتم استخدام البرنامج النصي كخدعة لتضليل المستخدم من خلال “خطأ في حزمة اللغة” مزيف.
يقوم BAT بتشغيل البرنامج النصي AutoIT (IoKITr.au3) الذي يقوم بتعيين الثبات على الجهاز عبر مهمة مجدولة. يجلب البرنامج النصي وحدات إضافية من نقطة القيادة والتحكم (C2)، ويوفر لممثلي التهديد إمكانية الوصول عن بعد، وتسجيل لوحة المفاتيح، وقدرات إضافية لتقديم الحمولة.
أفاد Genians أن الحمولات الثانوية التي تم استردادها بواسطة البرنامج النصي تشمل RemcosRAT، وQuasarRAT، وRftRAT.
تُستخدم هذه الأدوات للحصول على بيانات اعتماد حساب Google وNaver للضحية، والتي تمكنهم من تسجيل الدخول إلى بريد Gmail وNaver الخاص بالأهداف، وتغيير إعدادات الأمان، ومسح السجلات التي تظهر اختراقًا.
استخدام Find Hub لإعادة ضبط الأجهزة
من حساب Google المخترق، يفتح المهاجم Google Find Hub لاسترداد أجهزة Android المسجلة والاستعلام عن موقع GPS الخاص بها.
Find Hub هي أداة “العثور على جهازي” الافتراضية لنظام Android، مما يسمح للمستخدمين بتحديد موقع أجهزة Android أو قفلها أو حتى مسحها عن بعد في حالات الفقدان أو السرقة.
كشف تحليل الطب الشرعي الذي أجراه Genians للعديد من أنظمة الكمبيوتر الضحية أن المهاجم قام بمسح جهاز الهدف من خلال أمر إعادة التعيين عن بعد الخاص بـ Find Hub.
“The investigation found that on the morning of September 5 a threat actor compromised and abused the KakaoTalk account of a South Korea–based counselor who specializes in psychological support for North Korean defector youth, and sent a malicious file disguised as a “stress relief program” to an actual defector student,” يقول الباحثون الجنيون.
ويقول الباحثون إن المتسللين استخدموا ميزة تتبع نظام تحديد المواقع لتحديد الوقت الذي يكون فيه هدفهم بالخارج وأقل قدرة على الاستجابة للموقف بشكل عاجل.
المصدر: الأمن الجيني
أثناء الهجوم، قام ممثل التهديد بتشغيل أوامر إعادة التعيين عن بعد على جميع أجهزة Android المسجلة. وأدى ذلك إلى الحذف الكامل للبيانات الهامة. وقام المهاجم بتنفيذ أوامر المسح ثلاث مرات، مما حال دون استعادة الأجهزة واستخدامها لفترة أطول.
مع تحييد تنبيهات الهاتف المحمول، استخدم المهاجم جلسة KakaoTalk PC الخاصة بالضحية والتي تم تسجيل دخولها على الكمبيوتر المخترق بالفعل لتوزيع الملفات الضارة على جهات اتصال الضحية.
في 15 سبتمبر، لاحظ جينيانس هجومًا آخر على ضحية منفصلة باستخدام نفس الطريقة.
لمنع هذه الهجمات، يوصى بحماية حسابات Google من خلال تمكين المصادقة متعددة العوامل وضمان الوصول السريع إلى حساب الاسترداد.
عند استلام الملفات على تطبيقات المراسلة، حاول دائمًا التحقق من هوية المرسل عن طريق الاتصال به مباشرة قبل تنزيلها/فتحها.
يتضمن تقرير Genians تحليلاً فنيًا للبرامج الضارة المستخدمة بالإضافة إلى قائمة بمؤشرات الاختراق (IoCs) المتعلقة بالنشاط الذي تم التحقيق فيه.
تحديث 11/11 – أرسل متحدث باسم Google إلى BleepingComputer التعليق التالي بخصوص ما ورد أعلاه.
“This attack did not exploit any security flaw in Android or Find Hub. The report indicates this targeted attack required PC malware to be present in order to steal Google account credentials and abuse legitimate functions in Find Hub (formerly Find My Device). We strongly urge all users to enable 2-Step Verification or passkeys for comprehensive protection against credential theft. For users facing higher visibility or targeted attacks, we recommend enrolling in our برنامج الحماية المتقدمة للحصول على أقوى مستوى من أمان الحساب من Google.” – متحدث باسم Google.
ورقة الغش الخاصة بأسرار الأمن: من الامتداد إلى السيطرة
سواء كنت تقوم بتنظيف المفاتيح القديمة أو إعداد حواجز الحماية للتعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي، فإن هذا الدليل يساعد فريقك على البناء بشكل آمن من البداية.
احصل على ورقة الغش وتخلص من التخمين بشأن إدارة الأسرار.