This post is also available in:
English (אנגלית)
גל חדש של מתקפות סייבר שמקושר לצפון קוריאה כוון לעבר מאות אנשים ברחבי העולם, עם התמקדות באנשי מקצוע מתחום המטבעות הדיגיטליים. מסע התקיפה, שהתרחש בין מרץ ליוני 2025, עשה שימוש בהצעות עבודה מזויפות כדי להערים על הקורבנות ולגרום להם להתקין תוכנות זדוניות על המכשירים שלהם.
חוקרי סייבר מחברת SentinelLabs חשפו כי התוקפים שייכים לקבוצות הולכות וגדלות של האקרים בגיבוי ממשלתי המשתמשים בהנדסה חברתית כדי לעקוף הגנות טכנולוגיות. המטרה שלהם היא כלכלית: לגנוב נכסי קריפטו ולממן את תוכניותיה המוכות בסנקציות של צפון קוריאה, כולל תוכניות לפיתוח טילים.
התוקפים מתחזים למגייסים או למועמדים לעבודה, ומושכים את הקורבנות – בעיקר מתחומי הבלוקצ'יין, השיווק והפיננסים – להשתתף בתהליכי גיוס מזויפים. הם מזמינים את היעדים לבצע "מבחנים", בהם בין היתר הם נדרשים לפתור CAPTCHA שנראים לגיטימיים אך למעשה משמשים להחדרת קוד זדוני. שיטה נפוצה נוספת כוללת בקשה מהמשתמש להעתיק ולהדביק סקריפטים מסוכנים תחת טענה של "תיקון שגיאות" – טכניקה המכונה ClickFix.
מאחורי הקלעים, הקמפיין עושה שימוש לרעה בכלי מודיעין סייבר פופולריים כדי לבדוק האם תשתית התקיפה נחשפת. יומנים שנחשפו משרתי תקיפה של צפון קוריאה שהוגדרו באופן שגוי, הראו שהאקרים עקבו אחר סימני חשיפה דרך פלטפורמות כמו VirusTotal, Maltrail, ושירותים מסחריים כמו Validin, כדי לראות אם קוד זדוני או דומיינים ששימשו אותם סומנו על ידי גורמי אבטחה.
באחד המקרים, התוקפים עקבו אחר דומיינים הקשורים לגיוס עובדים שהיו זמינים לרכישה – רכשו אותם והקימו אתרים מזויפים שנראו אמינים. לאחר העלאת האתרים, עקבו בזמן אמת אחר סימני זיהוי – ואם זוהתה סכנה, עברו במהירות לתשתית חדשה. לדברי החוקרים, התנהלות זו מעידה כי במקום לבנות תשתית עמידה וארוכת טווח, הצוותים פשוט מחליפים משאבים לפי הצורך.
המתקפות, כך נראה, מתבצעות על ידי קבוצות מתואמות המשתמשות בפלטפורמות כמו Slack לשיתוף קישורים ולתיאום בזמן אמת. ב־SentinelLabs ציינו כי ליקויים באבטחת המידע של התוקפים הביאו לחשיפה לא מכוונת של יומנים, ספריות וקבצים פנימיים – דבר שהעניק לחוקרים הצצה נדירה לאופן שבו פועלים קמפיינים מסוג זה.
צוותי אבטחת מידע הצליחו מאז להשבית אתרי גיוס מזויפים, חשבונות דוא"ל, כתובות IP ושרתי תוכנות זדוניות הקשורים למבצע. עם זאת, חלקים נרחבים מהתשתית עדיין פעילים, ומקרי תקיפה נוספים צפויים להמשיך להתרחש.
