التهديد المتقدم المستمر
تحدث خبراء من فريق البحث والتحليل العالمي (GReAT) في Kaspersky في قمة محللي الأمان لعام 2025 عن مجموعة التهديد المتقدم المستمر (APT) التي تُدعى BlueNoroff التي نعتقد أنها مجموعة فرعية من Lazarus. وعلى وجه الخصوص، وصفوا بالتفصيل حملتين تستهدفان المطورين والمديرين التنفيذيين في قطاع العملات المشفرة: GhostCall وGhostHire.
يهتم المخترقون في BlueNoroff بشكل أساسي بالمكاسب المالية، ويفضلون حاليًا مهاجمة موظفي المؤسسات التي تعمل باستخدام قاعدة البيانات التسلسلية. ويتم اختيار الأهداف بعناية: من الواضح أن المهاجمين يستعدون بشكل شامل لكل هجوم. وتختلف حملتا GhostCall وGhostHire كثيرًا عن بعضهما البعض، لكنهما تعتمدان على بنية تحتية مشتركة للإدارة، ولهذا السبب دمجهما خبراؤنا في تقرير واحد.
حملة GhostCall
تستهدف حملة GhostCall بشكل أساسي المديرين التنفيذيين في مختلف المؤسسات. ويحاول المهاجمون إصابة أجهزة الكمبيوتر الخاصة بهم ببرامج ضارة مصممة لسرقة العملات المشفرة، وبيانات الاعتماد، والأسرار التي قد يعمل معها الضحايا. ويهتم مشغلو GhostCall بنظام macOS في المقاوم الأول – ربما لأن أجهزة Apple تحظى بشعبية خاصة بين الإدارة العليا للشركات الحديثة.
تبدأ هجمات GhostCall بهندسة اجتماعية معقدة إلى حد ما: يتظاهر المهاجمون بأنهم مستثمرون (أحيانًا باستخدام حسابات مسروقة لرواد أعمال حقيقيين وحتى أجزاء من مكالمات فيديو حقيقية معهم)، ويحاولون ترتيب اجتماع لمناقشة شراكة أو استثمار. ويكون الهدف من ذلك استدراج الضحية إلى موقع ويب يحاكي Microsoft Teams أو Zoom. وهناك ينتظرهم فخ قياسي: يعرض الموقع إشعارًا عن الحاجة إلى تحديث برنامج العميل أو إصلاح مشكلة فنية ما. ولفعل ذلك، يُطلب من الضحية تنزيل وتشغيل ملف، مما يؤدي إلى إصابة جهاز الكمبيوتر.
يمكن الاطلاع على تفاصيل عن سلاسل الإصابة المختلفة (يوجد ما لا يقل عن سبع سلاسل في هذه الحملة، أربع منها لم يسبق لخبرائنا أن واجهوها من قبل)، بالإضافة إلى مؤشرات الاختراق في المقالة المنشورة على موقع Securelist.
حملة GhostHire
تستهدف حملة GhostHire المطورين العاملين في مجال قواعد البيانات التسلسلية. ويبقى الهدف النهائي واحدًا، وهو إصابة أجهزة الكمبيوتر ببرامج ضارة، لكن المناورة مختلفة. وفي هذه الحالة، يستدرج المهاجمون الضحايا بعروض توظيف ذات شروط مغرية. وخلال المفاوضات، يعطي المهاجمون المطور عنوان روبوت على تطبيق Telegram، والذي يزود الضحية برابط إلى GitHub يتضمن مهمة اختبار، أو يعرض عليه تنزيلها في ملف مضغوط. ولمنع المطور من أخذ الوقت الكافي للتفكير، تُحدد للمهمة مهلة زمنية ضيقة إلى حد ما. وأثناء أداء الاختبار، يُصاب الكمبيوتر الخاص بالضحية بالبرنامج الضار.
يمكن أيضًا الاطلاع على الأدوات التي استخدمها المهاجمون في حملة GhostHire ومؤشرات الاختراق الخاصة بها في المقالة المنشورة على مدونة Securelist.
كيف تحمي نفسك من حملتي GhostCall وGhostHire؟
على الرغم من أن حملتي GhostCall وGhostHire تستهدفان مطورين ومديرين تنفيذيين محددين في الشركات، فإن اهتمام المهاجمين ينصب بشكل أساسي على البنية التحتية للعمل. لذلك، تقع مهمة الحماية من هذه الهجمات على عاتق متخصصي أمان تكنولوجيا المعلومات في الشركات. ولذلك نوصي بما يلي:
رفع مستوى الوعي بشكل دوري بين جميع موظفي الشركة عن الخدع والحيل التي يستخدمها المهاجمون المعاصرون. ويجب أن يأخذ التدريب في الحسبان طبيعة عمل المتخصصين، بمن فيهم المطورين والمديرين. ويمكن تنظيم هذا التدريب باستخدام منصة متخصصة على الإنترنت، مثل Kaspersky Automated Security Awareness Platform.
استخدام حلول أمان حديثة على جميع أجهزة الشركة التي يستخدمها الموظفون للتواصل مع العالم الخارجي.
