كن حذرًا عند فتح السيرة الذاتية لطلب وظيفة "Le Xuan Son"

هناك حملة هجوم إلكتروني جديدة تستهدف الشركات في فيتنام. صورة توضيحية: بلومبرغ.

اكتشف باحثو الأمن في مختبرات SEQRITE حملة هجوم إلكتروني متطورة، أُطلق عليها اسم "عملية لص هانوي"، تستهدف أقسام تكنولوجيا المعلومات ووكالات التوظيف في فيتنام عن طريق تمويه السير الذاتية.

اكتُشفت هذه الثغرة لأول مرة في 3 نوفمبر/تشرين الثاني، حيث استخدم المتسللون تقنية نشر البرمجيات الخبيثة عبر إخفائها على شكل سيرة ذاتية لطلب وظيفة. كان هدف المهاجمين التسلل إلى الشبكة الداخلية، والسيطرة على النظام، وسرقة بيانات العملاء وأسرار العمل.

كيف تعمل البرامج الضارة

وفقًا لخبراء الأمن، أرسل المهاجم سلسلة من رسائل البريد الإلكتروني تتضمن طلبات توظيف، مرفقًا بها ملف "Le Xuan Son CV.zip". عند فك ضغطه، وجد ملفين، أحدهما باسم "CV.pdf.lnk" والآخر باسم "offsec-certified-professional.png".

لأنه مُموّه على شكل أيقونة PDF وPNG، قد يظنه المستخدمون ملف سيرة ذاتية عادي. عند النقر عليه، يُفعّل فيروس LOTUSHARVEST، المُتخصص في جمع معلومات كلمات المرور وسجلات الوصول، ثم إرسالها إلى خادم المُخترق.

وفقًا لـ GBHackers ، فإن السيرة الذاتية المزيفة المسماة Le Xuan Son من هانوي كان لها حساب على GitHub منذ عام 2021. ومع ذلك، اكتشف الباحثون أن هذا الحساب لم ينشر أي معلومات، على الأرجح فقط لخدمة حملة الهجوم.

يتم الهجوم على ثلاث مراحل. بعد فتح ملف LNK، يُفعّل أمرًا خاصًا عبر أداة ftp.exe المُدمجة في نظام Windows. هذه تقنية قديمة وغير شائعة تُمكّن البرنامج الخبيث من تجاوز عناصر التحكم الأساسية.

Operation Hanoi Thief, CV Le Xuan Son, Bkav an ninh mang, chien dich tan cong, an ninh mang anh 1

يخدع القراصنة الشركات بإرسال سير ذاتية باسم "لي شوان سون". الصورة: SEQRITE .

في المرحلة الثانية، لا يزال النظام يُخدع ليعتقد أن هذا ملف PDF أو نص عادي. ومع ذلك، بعد إجراء تحليل أعمق، اكتشف الباحثون أن الشيفرة الخبيثة أُدخلت مخفية قبل بداية ملف PDF.

بدأ البرنامج الخبيث بالعمل فورًا، فأعاد تسمية أداة certutil.exe المتاحة في نظام ويندوز لتجنب الكشف، واستخرج البيانات التي تحتوي على حزمة الملف الخبيث النهائية. واصل سطر الأوامر تغيير اسم الملف إلى "CV-Nguyen-Van-A.pdf" لخداع النظام، ثم استخرج وفك تشفير ملف باسم "MsCtfMonitor.dll"، ووضعه في المجلد C:\ProgramData.

من خلال نسخ ملف ctfmon.exe من System32 إلى نفس المجلد، استغل المهاجم تقنية اختطاف DLL، مما تسبب في قيام النظام بتشغيل الملف الضار بدلاً من البرنامج العادي.

أخيرًا، يتم تفعيل برنامج LOTUSHARVEST الخبيث لسرقة المعلومات. تتضمن هذه البيانات معلومات تسجيل الدخول على متصفحي Chrome وEdge، بالإضافة إلى أحدث 20 رابطًا إلكترونيًا تمت زيارتها، بما في ذلك البيانات الوصفية ذات الصلة.

تُنقل البيانات المسروقة عبر واجهة برمجة تطبيقات WinINet في نظام Windows إلى البنية التحتية للمخترق. ويضيف البرنامج أيضًا اسم الكمبيوتر واسم المستخدم لإنشاء ملف تعريف هوية على الخادم.

تحتاج الشركات الفيتنامية إلى تعزيز الحماية

تكمن نقطة القلق في حملة الهجوم في قدرة LOTUSHARVEST على إخفاء نفسه والعمل بشكل مستقل. يستغل البرنامج الخبيث آلية تحميل المكتبة للحفاظ على سيطرة طويلة الأمد والوصول إلى الحسابات والبيانات الحساسة، متجاوزًا بذلك حماية إجراءات الأمن التقليدية.

وبحسب التقييم، فإن البيانات المسروقة يمكن أن تصبح "المفتاح" للقراصنة لتوسيع نطاق اختراقهم ونشر أدوات خطيرة وتحويل الشركات إلى أهداف لهجمات متعددة الطبقات أو الابتزاز في المراحل التالية.

"تشير كل الدلائل إلى أن حملة "لص هانوي" تم التخطيط لها بعناية فائقة، حيث استهدفت الشركات الفيتنامية بشكل مباشر.

وقال السيد نجوين دينه ثوي، خبير تحليل البرامج الضارة في Bkav: "يستغل المتسللون قسم التوظيف، الذي يتلقى بانتظام طلبات من الخارج ولكنه غير مجهز بالكامل بالوعي بالأمن السيبراني، ويستخدمون ملفات مزيفة في شكل سيرة ذاتية أو مستندات ويمكن أن تتحول باستمرار إلى العديد من الاختلافات، مما يجعل خطر الإصابة غير متوقع".

Operation Hanoi Thief, CV Le Xuan Son, Bkav an ninh mang, chien dich tan cong, an ninh mang anh 2

تستخرج البرامج النصية سجلّ تسجيل الدخول والوصول للبرامج الضارة. الصورة: SEQRITE .

وفقًا لـ Bkav، وقعت بعض المؤسسات الفيتنامية ضحيةً لهذه الحملة الهجومية. ونظرًا لخطورة حملة LOTUSHARVEST وحملة Hanoi Thief، يجب على المستخدمين توخي الحذر الشديد عند التعامل مع المستندات الواردة عبر البريد الإلكتروني.

يجب على الشركات والمؤسسات إجراء تدريب دوري لموظفيها، ورفع مستوى الوعي واليقظة ضد عمليات الاحتيال الإلكتروني. كما يجب تعزيز أنظمة المراقبة الداخلية، ومراقبة المكتبات غير المألوفة أو الملفات المشبوهة.

لا تلبي أدوات نظام التشغيل الافتراضية سوى احتياجات الحماية الأساسية، وهي غير كافية لمكافحة البرامج الضارة والفيروسات الحديثة التي قد تختبئ وتستمر لفترة طويلة وتتسلل إلى أعماق النظام. لذلك، من الضروري تثبيت نظام مراقبة بريد إلكتروني واستخدام برنامج مكافحة فيروسات مرخص لضمان أفضل حماية.

المصدر: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html