حملة BlueNoroff: اجتماعات زووم مزيفة بأفاتار AI تخترق التنفيذيين خلال 5 دقائق

كشف باحثو Arctic Wolf Labs الأسبوع الماضي عن حملة جديدة تشنّها مجموعة BlueNoroff الكورية الشمالية — تابعة لـLazarus Group ومُصنّفة من قِبل Microsoft باسم Sapphire Sleet — تعتمد على اجتماعات Zoom مزيفة مأهولة بأفاتار مولّدة بالذكاء الاصطناعي ومقاطع فيديو حقيقية مسروقة من تنفيذيين سابقين. الحملة تنتقل من النقرة الأولى إلى تنازل كامل عن الجهاز خلال أقل من خمس دقائق، وهو رقم يضع كل ضوابط الكشف التقليدية في مأزق حقيقي.

تشريح الحملة: من Calendly إلى تنازل كامل

تبدأ سلسلة الهجوم بانتحال شخصية رئيس قسم قانوني في شركة استشارات دولية تعمل في قطاع التقنية المالية والعملات المشفّرة. يُرسل المهاجم دعوة Calendly مدروسة الصياغة باللغة الإنجليزية المهنية، وعند تأكيد الموعد يتم توليد دعوة Google Meet تلقائياً. هنا تأتي الخطوة الحاسمة: المهاجم يُعدّل الدعوة بصمت ويستبدل رابط Google Meet برابط Zoom مُزيّف يستخدم نطاقاً مُحرّفاً (typosquat) قريباً جداً من النطاق الأصلي مثل zoorn[.]us أو zoom-meeting[.]live.

عند الضغط على الرابط، يُحمَّل المتصفح صفحة HTML واحدة مكتفية ذاتياً تُحاكي واجهة Zoom بدقة كاملة — تتضمن مربعات فيديو للمشاركين فيها لقطات معاد تشغيلها لأشخاص حقيقيين سُرقت كاميراتهم في موجات سابقة من الحملة. تخيّل أن تدخل اجتماعاً ترى فيه "محامي الشركة" و"المدير التنفيذي" يتحركون ويومئون برؤوسهم — كلهم وهم — قبل أن تظهر رسالة "خلل في الميكروفون" تطلب منك تشغيل أمر PowerShell بسيط لإصلاحه. هذه هي تقنية ClickFix.

الحمولة: PowerShell بلا ملفات وسرقة محافظ Web3

الأمر الذي يُلصقه الضحية يطلق سكربت PowerShell فايل-لس (fileless) يعمل مباشرة في الذاكرة دون كتابة ملف على القرص، وهذا يتجاوز معظم حلول مكافحة الفيروسات التقليدية المعتمدة على التوقيع. السكربت يستهدف امتدادات محافظ المتصفح مثل MetaMask وPhantom وLedger Live، وملفات keychain على macOS، وقواعد بيانات Chrome Login Data، ثم يفتح قناة C2 مشفّرة عبر بروتوكول WebSocket لاستخراج البيانات وزرع آلية ثبات (persistence) عبر LaunchAgent على macOS أو Scheduled Task على Windows.

الأخطر أن الحملة جامعة تراكمية: تسرق فيديو الكاميرا الخاص بكل ضحية جديدة وتستخدمه كطُعم في الحملات اللاحقة. حتى الآن، رصد Arctic Wolf لقطات مسروقة لأكثر من 100 شخص — نصفهم رؤساء تنفيذيون أو مؤسسون مشاركون — تُعاد دورتها كأفاتار مقنعين في اجتماعات تستهدف زملاءهم في الصناعة.

التأثير على المؤسسات المالية السعودية

قد يقول قارئ متعجّل: "هذه حملة تستهدف Web3 وليس البنوك التقليدية." هذا تفسير خاطئ. التنفيذيون في البنوك السعودية يعقدون يومياً اجتماعات Zoom وTeams مع أطراف ثالثة — مستشارين قانونيين، مدققين، شركاء فنتك، ممثلي ساما — وأي رابط مزيّف في تقويم Outlook قابل للنقر. المُلفت أن الحملة لا تتطلب صفر-داي ولا برمجية خبيثة على القرص؛ تعتمد بالكامل على ضعف ضوابط التحقق من هوية المتصلين، وهو بالضبط ما تتطلبه سيطرة SAMA CSCC 3.3.5 (Cybersecurity Awareness) وسيطرة 3.3.14 (Threat Management).

كذلك يفرض إطار NCA ECC-1:2018 الضابط 2-4-1 ضرورة التحقق من سلامة قنوات الاتصال مع الأطراف الخارجية. وفي حال نجاح المهاجم في سرقة فيديو تنفيذي ومن ثم استخدامه في احتيال CEO Fraud أو تجاوز KYC قائم على الفيديو، فإن المؤسسة تواجه مخالفة مباشرة لـنظام حماية البيانات الشخصية (PDPL) المادة 19 المتعلقة بالإفصاح غير المصرّح به للبيانات البيومترية.

التوصيات والخطوات العملية للـCISO

1. فرض سياسة "Zoom رسمي فقط": اعتمد نطاق Zoom واحد للمؤسسة (مثلاً yourbank.zoom.us)، وفعّل قاعدة DNS Sinkhole على نطاقات zoorn و zoom-meeting و zooom المحرّفة المعروفة في خلاصات تهديد BlueNoroff IOCs.
2. تعطيل ClickFix على مستوى المتصفح: طبّق سياسة Group Policy تمنع تنفيذ PowerShell عبر النقر اليميني أو نسخ-لصق من حافظة المتصفح للمستخدمين خارج فريق DevOps. فعّل Constrained Language Mode وAttack Surface Reduction (ASR) Rule لمنع التنفيذ من Office والمتصفحات.
3. تفعيل AMSI وScript Block Logging: هذا هو خط الدفاع الوحيد الفعّال ضد PowerShell الفايل-لس. وجّه السجلات إلى SIEM مع قواعد كشف لكلمات مفتاحية مثل iex وDownloadString وFromBase64String.
4. تدريب التنفيذيين على الـVishing/Vishfishing البصري: اجعل التنفيذيين يطلبون من أي طرف خارجي تأكيد هويته عبر قناة ثانية (مكالمة هاتفية على رقم معروف مسبقاً) قبل أي طلب يتطلب صلاحية مالية أو معلومات حساسة، حتى لو "رأوه" في الاجتماع.
5. منع Browser Wallets على أجهزة الشركة: أي تنفيذي يتعامل شخصياً مع الكريبتو من جهازه المؤسسي يجب أن ينقل ذلك إلى جهاز معزول، لأن سرقة محفظة شخصية قد تُستخدم لاحقاً كنقطة ارتكاز للتنازل عن الحساب المؤسسي.
6. مراجعة ضوابط KYC القائمة على الفيديو: مع توفر لقطات حقيقية لتنفيذيين، أصبحت أنظمة Liveness Detection القديمة (التي تطلب الابتسام أو إدارة الرأس) قابلة للتجاوز. حدّث للجيل الذي يعتمد على إشارات منفعلة (passive liveness) ومطابقة بيومترية مضادة للعرض (presentation attack detection).

الخلاصة

حملة BlueNoroff ليست مجرد قصة عن مجموعة كورية شمالية تطارد محافظ كريبتو — هي إثبات حيّ على أن الذكاء الاصطناعي التوليدي قد كسر الفرضية الأمنية الأقدم في القطاع المالي: "إذا رأيته بعينك في الاجتماع، فهو من تظنّ." خمس دقائق من النقرة إلى التنازل الكامل تعني أن الكشف وحده لا يكفي؛ يجب الانتقال إلى منع البنية التحتية ذاتها (نطاقات Zoom، تنفيذ PowerShell، نقل البيانات).

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل محاكاة Red Team لهجمات الهندسة الاجتماعية القائمة على التزييف العميق وسيناريوهات ClickFix.