ظهرت حملة سيبرانية متطورة تستهدف المحترفين ورواد الأعمال، عبر تطبيقات Zoom مزيفة جرى تصميمها بعناية لتنفيذ أوامر تُتيح السيطرة الكاملة على أنظمة الضحايا.
وتعتمد الحملة على تقنيات متقدمة للهندسة الاجتماعية إلى جانب أساليب تقليد النطاقات (Domain Spoofing) لإقناع المستخدمين بالتفاعل مع الروابط الخبيثة، ما يُمثّل تطوراً ملحوظاً في أساليب أحصنة طروادة للتحكم عن بُعد (Remote Access Trojans) وهجمات الاحتيال عبر البريد الإلكتروني في بيئات الأعمال.
أسلوب خداع متقن يستهدف رواد الأعمال
طورت جهات التهديد المرتبطة بكوريا الشمالية مخططاً معقداً يستغل الانتشار الواسع لمنصات الاجتماعات المرئية، مستهدفين بشكل خاص المهنيين ورواد الأعمال من خلال حملات هندسة اجتماعية عبر منصة LinkedIn.
وتبدأ الحملة عبر استفسارات تجارية تبدو شرعية على المنصات المهنية، حيث يعمل المهاجمون على بناء علاقة ثقة مع الضحايا المحتملين قبل اقتراح عقد اجتماعات عبر الفيديو لمواصلة النقاشات.
وتتمحور البنية التحتية للهجوم حول نطاقات مُقلّدة تبدو مطابقة لخدمات Zoom الرسمية، حيث قام المهاجمون بتسجيل نطاقات مثل “usweb08.us” مع نطاقات فرعية مثل “zoom.usweb08.us” لإيهام المستخدمين بأنهم يتعاملون مع منصات Zoom الرسمية.
وتُظهر سجلات WHOIS أن هذه النطاقات تم تسجيلها قبيل تنفيذ الهجمات مباشرة، وتحديداً في 17 أبريل 2025، ما يؤكد أن الحملة نشطة وحديثة.
وكشف محللو LinkedIn والباحثون الأمنيون الحملة بعد محاولات استهداف مباشرة لمديري شركات التكنولوجيا ومؤسسي الشركات الناشئة.
ومع توالي بلاغات الضحايا، أصبح واضحاً أن الحملة منسّقة وواسعة النطاق، وليست مجرد حوادث معزولة.
تطبيقات Zoom مزيفة بواجهة احترافية لخداع الضحايا
تعرض التطبيقات الخبيثة واجهة Zoom مطابقة تماماً للأصل، بما في ذلك:
- نوافذ الفيديو للمشاركين
- رسائل الدردشة
- بيئة الاجتماعات الوهمية
وأثناء محاولة الضحايا الانضمام للاجتماع، يُواجهون مشكلات صوتية “مصطنعة”، تُستخدم كذريعة لتنفيذ المرحلة التالية من الهجوم.
خلال ما يبدو وكأنه خطوات دعم فني، يُطلب من الضحايا تنفيذ أوامر عبر واجهة الأوامر (Terminal)، ما يمنح المهاجمين وصولاً إدارياً كاملاً إلى أنظمتهم.
استهداف المؤسسات عبر الشخصيات الرئيسية
يتجاوز أثر الحملة مجرد اختراق الأفراد، إذ تستهدف المؤسسات من خلال موظفيها الرئيسيين، ما يُمكّن المهاجمين من الوصول إلى بيانات الشركات الحساسة، وأصول العملات المشفرة، والملكية الفكرية.
ويعكس العرض الاحترافي وتوقيت الهجوم وجود موارد وخطط بمستوى دولتي، بما يتماشى مع العمليات السيبرانية المعروفة التي تنفذها كوريا الشمالية.
آلية العدوى وتقنيات الهندسة الاجتماعية
تُظهر سلسلة الهجوم فهماً عميقاً لأساليب التواصل في بيئات الأعمال وإجراءات الدعم الفني، حيث يبدأ المهاجمون بالتواصل عبر ملفات LinkedIn احترافية، غالباً بانتحال شخصيات شركاء أعمال أو عملاء محتملين مهتمين بخدمات الضحية.
بعد كسب الثقة، تنتقل المحادثة إلى منصات مشفّرة مثل Telegram، ما يضفي طابعاً أكثر خصوصية ويُساعد في التهرب من مراقبة المنصات.
وتُستخدم أنظمة حجز الاجتماعات الرسمية في المرحلة التالية، ما يُعزز المصداقية ويُحاكي الممارسات التجارية المعهودة.
قبل موعد الاجتماع بنحو 20 دقيقة، يُرسل المهاجمون رسائل عاجلة يُدّعون فيها وجود مشكلات تقنية أو أن أعضاء الفريق بانتظار الضحية، ما يُولّد ضغطاً نفسياً يدفعه للاستجابة السريعة.
في المرحلة النهائية، يتم توجيه الضحية من الرابط الأصلي إلى صفحات دعم فني مزيفة تطلب تنفيذ أوامر عبر واجهة الأوامر، والتي من المرجح أنها تُثبت أبواباً خلفية دائمة، أو تتيح سرقة البيانات، أو تُنزّل مكونات خبيثة إضافية تُبقي النظام تحت سيطرة المهاجمين مع التملّص من أنظمة الكشف.
