کاربران لینکدین هدف فیشینگ رمزارز گروه لازاروس

شرکت امنیت سایبری SlowMist، یک عملیات فیشینگ پیچیده را از سوی گروه لازاروس، گروه هکری مظنون به فعالیت از کره شمالی، کشف کرده است. این گروه با جعل هویت یکی از شرکای شرکت سرمایه‌گذاری فین‌بوشی کپیتال در لینکدین، به دنبال سوءاستفاده از دسترسی کارکنان و سرقت دارایی‌های ارز دیجیتال باارزش آن‌ها بوده است.

فین‌بوشی کپیتال (Fenbushi Capital)، یک سرمایه‌گذار خطرپذیر حوزه‌ی بلاک‌چین که از سال ۲۰۱۵ در شانگهای فعالیت می‌کند، همواره پیشرو در حمایت از پروژه‌های نوآورانه در سراسر جهان بوده است. نام و اعتبار این شرکت در بازآفرینی صنایع مالی و سلامت، آن را به طعمه‌ای جذاب برای بازیگران مخرب تبدیل کرده است.

به گفته‌ی رئیس امنیت اطلاعات SlowMist که با نام مستعار “۲۳pds” شناخته می‌شود، گروه لازاروس با ایجاد هویت‌های جعلی در لینکدین، خود را به عنوان شرکای فین‌بوشی کپیتال جا زده است. آن‌ها با تظاهر به ارائه فرصت‌های سرمایه‌گذاری یا برقراری ارتباط در کنفرانس‌ها، با اهداف بالقوه تماس برقرار می‌کردند.

۲۳pds هشدار داد:

“مراقب حمله‌ی گروه لازاروس به حساب‌های جعلی فین‌بوشی کپیتال در لینکدین باشید!”

هفته‌ی گذشته، SlowMist هشدار مشابهی صادر کرد. این شرکت کشف کرد که گروه لازاروس در حال حاضر از طریق لینکدین، افراد را هدف قرار می‌دهد تا با استفاده از بدافزار، امتیازات یا دارایی‌های کارکنان را به سرقت ببرد.

روش اجرای این عملیات به صورت فریبنده و سازمان‌یافته بوده است. ابتدا، هکرها از طریق لینکدین با مدیران ارشد یا کارکنان بخش منابع انسانی تماس می‌گرفتند. آن‌ها خود را به عنوان افرادی جویای کار در حوزه‌ی توسعه‌ی React یا بلاک‌چین معرفی می‌کردند.

سپس، این افرادِ بی‌خبر را تشویق می‌کردند تا مخزن کدگذاری خود را مشاهده کرده و برای نشان دادن مهارت خود، کدی را اجرا کنند. با این حال، این کد مخرب بوده و برای به خطر انداختن امنیت سیستم و تسهیل دسترسی غیرمجاز طراحی شده بود.

این استراتژی، اولین باری نبوده که گروه لازاروس از لینکدین به عنوان ابزاری برای فعالیت‌های خود استفاده می‌کند. در یک حادثه‌ی قابل توجه در جولای ۲۰۲۳، یک برنامه‌نویس در شرکت CoinsPaid در استونی فریب داده شد تا یک فایل مخرب را دانلود کند.

این اتفاق در جریان آنچه به عنوان یک مصاحبه‌ی شغلی از طریق لینک تصویری معرفی شده بود، رخ داد. این نقص امنیتی منجر به سرقت ویرانگر ۳۷ میلیون دلاری از CoinsPaid شد.

تحلیل‌های بیشتر توسط Chainalysis نشان می‌دهد که گروه‌هایی مانند لازاروس، روش‌های خود را برای پولشویی وجوه سرقت‌شده، تطبیق داده و اصلاح کرده‌اند. به دنبال تعطیلی سرویس‌های ترکیب ارز دیجیتال محبوب مانند Sinbad و تحریم شدن تورنادو کش Tornado Cash، هکرهای کره شمالی به سمت فناوری‌های جدیدتر روی آورده‌اند. آن‌ها اکنون از سرویس ترکیب ارز دیجیتال مبتنی بر بیت‌کوین به نام YoMix برای مخفی کردن تراکنش‌های خود استفاده می‌کنند.

منبع: BeInCrypto