الكشف عن هجمات مدعومة بالذكاء الاصطناعي تستهدف أجهزة المديرين العاملة بنظامي Windows وmacOS
كشف خبراء أمن المعلومات خلال فعاليات قمة محللي الأمن المنعقدة في تايلاند، عن أحدث الأنشطة الإجرامية لمجموعة BlueNoroff المعروفة في مجال التهديدات المتقدمة المستمرة (APT)، فقد شنّت حملتين شديدتي الاستهداف هما «GhostCall» و«GhostHire» كما تم الكشف عن هجمات متقدمة مدعومة بالذكاء الاصطناعي تستهدف أجهزة المديرين التنفيذيين العاملة بنظامي Windows وmacOS.
أماكن الهجمات المستهدفة
واستهدفت هذه الهجمات المستمرة منذ أبريل عام 2025 المؤسسات العاملة في مجال Web.3 والعملات المشفرة في دول كثيرة منها الهند وتركيا وأستراليا ودول أخرى في أوروبا وآسيا.
تواصل BlueNoroff، وهي مجموعة فرعية تابعة لمجموعة Lazarus المعروفة بأنشطتها الخبيثة، توسيع نطاق حملتها «SnatchCrypto»؛ وهي عملية تُشنّ بدوافع مالية لاستهداف قطاع العملات المشفرة حول العالم. أما حملتا «GhostCall» و«GhostHire» اللتين اكتشفتا حديثًا فتستخدمان أساليب تسلل جديدة وبرمجيات خبيثة لاختراق أنظمة المطورين والمديرين التنفيذيين في قطاع سلسلة الكتل (Blockchain). ويعد نظاما Windows وmacOS الأهداف الرئيسية لهذه الهجمات، التي تُدار عبر بنية موحدة للتحكم والقيادة.
تركز حملة «GhostCall» على الأجهزة العاملة بنظام macOS، وهي تنطلق بهجوم هندسة اجتماعية شديد التعقيد ومصمم تحديدًا لكل ضحية.
ففي بادئ الأمر يتواصل المهاجمون مع الضحية عبر تطبيق تيليجرام، وينتحلون هوية أفراد من أصحاب رؤوس الأموال، وقد يستخدمون أحيانًا حسابات مخترقة لرواد أعمال حقيقيين أو مؤسسي شركات ناشئة لاستدراج الضحية بفرص الاستثمار أو الشراكة.
ويدعو المجرمون الضحية لحضور اجتماع استثماري وهمي مستخدمين مواقع تصيد احتيالي مشابهة لتطبيقي Zoom أو Microsoft Teams، ثم يطلبون من الضحية تحميل «تحديث» لإصلاح مشكلة صوتية، مما يؤدي إلى تنزيل رمز برمجي خبيث وإصابة جهازه ببرمجية خبيثة.
أكد سوجون ريو، الباحث الأمني في فريق GReAT لدى كاسبرسكي اعتمدت هذه الحملة على عمليات الخداع المتعمدة والمدروسة بعناية فقد استخدم المجرمون فيديوهات ضحايا سابقين وأعادوا تشغيلها خلال الاجتماعات المفبركة لإيهام الضحايا بأنهم في مكالمات واجتماعات حقيقية، ثم يتلاعبون بهم ويخدعونهم.
ويستخدم المجرمون البيانات التي حصلوا عليها خلال هذه العملية ضد الضحية الأولية، ويوظفونها كذلك في تنفيذ هجمات لاحقة وهجمات على سلسلة التوريد، فيستغلون علاقة الثقة لاختراق مجموعة أوسع من المؤسسات والمستخدمين.
نشر المجرمون سبع سلاسل تنفيذ متعددة المراحل، منها أربع لم تكتشف من قبل، واستخدموها لتوزيع مجموعة من التنزيلات الخبيثة الجديدة التي تتضمن برمجيات لسرقة العملات المشفرة، وبرمجيات لسرقة بيانات تسجيل الدخول في المتصفح، وبرمجيات سرقة المعلومات السرية، وبرمجيات سرقة بيانات تسجيل الدخول إلى تيليجرام.
أما في حملة «GhostHire»، فتستهدف مجموعة التهديدات المتقدمة المستمرة مطوري تقنية سلسلة الكتل، وتوهمهم بأنها إحدى جهات التوظيف. ويخدع المجرمون الضحايا لتنزيل وتشغيل ملفٍ على GitHub يتضمن برمجيات خبيثة، وذلك بعدما أخبروهم بأنّ غايتهم تقييم مهاراتهم. وتشترك حملتا «GhostCall» و«GhostHire» في البنية التحتية والأدوات، لكنّ حملة «GhostHire» لا تعتمد على مكالمات الفيديو، بل تركز جهودها على التواصل مع المطورين والمهندسين الخبيرين عبر عروض توظيف وهمية. وبعدما يحدث الاتصال الأول مع الضحايا، يضيفهم المجرمون إلى بوت تيليجرام يرسل إما ملف ZIP أو رابط GitHub، ويمهلهم مهلة قصيرة لإتمام الأمر. وحالما ينهون ذلك، تثبت البرمجية الخبيثة نفسها في جهاز الضحية بعد أن تعدل خصيصًا لتناسب نظام التشغيل.
الذكاء الاصطناعي التوليدى
استفادت مجموعة BlueNoroff من الذكاء الاصطناعي التوليدي في تسريع تطوير البرمجيات الخبيثة وتحسين أساليب هجماتها. فقد أضاف المجرمون لغات برمجية جديدة وميزات إضافية، ما جعل عمليات الاكتشاف والتحليل أكثر تعقيدًا وصعوبة. وساعد الذكاء الاصطناعي هذه المجموعة في إدارة عملياتها وتوسيع نطاقها، فزاد تعقيد الهجمات واتسع نطاقها بشكل كبير.
قال عمر أمين، باحث أمني رئيسي في فريق GReAT لدى كاسبرسكي تطورت استراتيجية هذه المجموعة منذ حملاتها السابقة، متجاوزة سرقة العملات المشفرة وبيانات تسجيل الدخول في المتصفح. وساعد استخدام الذكاء الاصطناعي التوليدي على تسريع هذه العمليات، فأصبح تطوير البرمجيات الخبيثة أسهل وأقل تكلفة.
ويعوض هذا النهج المعتمد على الذكاء الاصطناعي نقص المعلومات المتاحة للمجرمين، ما يجعل هجماتهم أكثر دقة واستهدافًا. كما اتسع نطاق الهجمات بشكل كبير نتيجة دمج البيانات المُخترَقة مع القدرات التحليلية للذكاء الاصطناعي، لكننا نأمل أن يحدّ بحثنا من الأضرار المستقبلية.