گروه هکری APT43 (Kimsuky)، که به کره شمالی منتسب است، حملات سایبری جدیدی را علیه بخش‌های دولتی، تجاری و ارزهای دیجیتال کره جنوبی انجام داده است. این عملیات که توسط شرکت Securonix با نام DEEP#DRIVE شناسایی شده، شامل فیشینگ پیشرفته و چندمرحله‌ای است که برای نفوذ به شبکه‌های هدف طراحی شده است.

محققان امنیتی Den Iuzvyk و Tim Peck در گزارش خود به The Hacker News اعلام کردند که مهاجمان از اسناد فریبنده به زبان کره‌ای استفاده می‌کنند که در قالب فایل‌های .HWP، .XLSX و .PPTX ارسال شده و حاوی طعمه‌هایی مانند گزارش‌های کاری، اسناد بیمه‌ای و اطلاعات مرتبط با ارزهای دیجیتال هستند. هدف این است که کاربران فریب خورده و فایل‌ها را باز کنند، که این اقدام فرآیند آلودگی را آغاز می‌کند.

مراحل حمله

۱. حمله با یک فایل ZIP حاوی میانبر ویندوز (.LNK) آغاز می‌شود که به عنوان یک سند واقعی نمایش داده می‌شود.
۲. با اجرای میانبر، یک کد PowerShell اجرا می‌شود که یک سند طعمه را از Dropbox دریافت و نمایش می‌دهد، در حالی که به‌طور مخفیانه یک وظیفه زمان‌بندی‌شده (Scheduled Task) با نام ChromeUpdateTaskMachine ایجاد می‌کند تا در سیستم باقی بماند.
۳. اسکریپت PowerShell به Dropbox متصل شده و یک اسکریپت دوم را دریافت می‌کند که اطلاعات سیستم را جمع‌آوری و به بیرون ارسال می‌کند.
4. در مرحله بعدی، یک اسکریپت سوم PowerShell بارگیری شده که یک فایل .NET Assembly نامشخص را اجرا می‌کند.

محققان امنیتی اعلام کرده‌اند که مهاجمان از OAuth tokens برای احراز هویت در APIهای Dropbox استفاده کرده‌اند. این روش به آن‌ها اجازه می‌دهد اطلاعاتی مانند مشخصات سیستم و پردازش‌های فعال را به پوشه‌های مشخصی ارسال کنند.

ویژگی‌های متمایز این حمله

✔ استفاده از زیرساخت ابری (Dropbox) برای انتقال فایل‌های مخرب و استخراج داده‌ها، که باعث دور زدن فهرست‌های مسدودکننده IP و دامنه می‌شود.
✔ زیرساخت پویا و کوتاه‌مدت که لینک‌های کلیدی پس از مراحل اولیه حمله حذف می‌شوند.
✔ نظارت فعال مهاجمان بر کمپین خود برای حفظ امنیت عملیاتی و جلوگیری از شناسایی.

بررسی‌های Securonix نشان می‌دهد که این حملات از سپتامبر سال گذشته در حال اجرا بوده‌اند.

محققان تاکید کرده‌اند که اگرچه مرحله نهایی حمله هنوز مشخص نشده، اما تکنیک‌های مبهم‌سازی، اجرای مخفیانه و پردازش پویا نشان‌دهنده قصد مهاجمان برای دوری از شناسایی و پیچیده‌تر کردن روند واکنش به حادثه است. این حمله تأکیدی بر افزایش تهدیدات سایبری کره شمالی علیه اهداف مرتبط با دولت، تجارت و ارزهای دیجیتال دارد.