بوابات التوظيف تتحول إلى أدوات خبيثة: كشف هجوم الفدية الكندي لجماعة GOLD BLADE

عصابة إلكترونية تستخدم طلبات التوظيف لاختراق الشركات وإطلاق برمجيات فدية مخصصة في جميع أنحاء كندا.

عندما يقوم مدير الموارد البشرية في كندا بتنزيل سيرة ذاتية من بوابة توظيف موثوقة، آخر ما يتوقعه هو إطلاق هجوم فدية. ومع ذلك، منذ أوائل عام 2024، حولت مجموعة الجريمة الإلكترونية الغامضة المعروفة باسم GOLD BLADE منصات التوظيف إلى منصات سرية لإطلاق موجة من سرقة البيانات والابتزاز المستهدف، تاركة وراءها ملفات مشفرة وأسئلة بلا إجابة.

حقائق سريعة: الهجوم الكندي لجماعة GOLD BLADE

ما يقرب من 80% من هجمات GOLD BLADE منذ فبراير 2024 استهدفت منظمات كندية.
تستخدم المجموعة سير ذاتية خبيثة يتم رفعها عبر منصات توظيف شرعية مثل Indeed وJazzHR.
تقوم GOLD BLADE بنشر برمجية فدية مخصصة تُدعى QWCrypt، غالبًا مع سرقة بيانات مستهدفة.
يتجنب المهاجمون أنظمة أمان البريد الإلكتروني التقليدية من خلال استغلال الثقة في أنظمة الموارد البشرية.
تشير العمليات إلى نموذج "الاختراق حسب الطلب" الموجه لعملاء أو مناطق محددة.

فخ طلب التوظيف

تطورت GOLD BLADE، المعروفة سابقًا باسم RedCurl وRedWolf، من التجسس الكلاسيكي إلى عملية إجرامية هجينة. حملتهم الأخيرة، التي تحمل الاسم الرمزي STAC6565، تمثل تحولًا دراماتيكيًا: بدلاً من استهداف واسع النطاق، يركزون على الشركات الكندية بدقة جراحية. سلاحهم المفضل؟ سير ذاتية بصيغة PDF تبدو بريئة، يتم رفعها مباشرة إلى منصات التوظيف التي تثق بها أقسام الموارد البشرية في جميع أنحاء البلاد.

على عكس رسائل التصيد الاحتيالي التقليدية، تتجاوز هذه السير الذاتية الخبيثة مرشحات الرسائل المزعجة وتصل مباشرة إلى موظفي الموارد البشرية. عند فتحها، تطلق سلسلة هجمات متعددة المراحل، تنشر بهدوء برمجية RedLoader الخاصة بجماعة GOLD BLADE. لقد خضع هذا الأسلوب المتطور للإصابة لتحسين مستمر - مستفيدًا من كل شيء من البنية التحتية السحابية إلى صفحات هبوط LinkedIn مزيفة، مع تعديل التكتيكات مع كل موجة هجمات جديدة.

من التجسس إلى الابتزاز

بحلول منتصف عام 2025، صعّدت المجموعة من تكتيكاتها، حيث بدأت في نشر برمجية الفدية المخصصة QWCrypt بشكل انتقائي. لا تقوم البرمجية فقط بتشفير بيانات الشركة، بل تمحو أيضًا آثار الأدلة الجنائية وتعطل دفاعات أمان ويندوز على مستوى النواة. كل هجوم يتم تخصيصه، مع تضمين معرفات خاصة بالضحية واستخدام سكريبتات تلقائية للانتشار عبر الشبكات، غالبًا عبر بروتوكولات مشاركة الملفات الموثوقة.

تتطابق براعة GOLD BLADE التقنية مع انضباطهم التشغيلي. يستغلون أدوات النظام الشرعية، ويستغلون برامج التشغيل الضعيفة في هجمات "إحضار برنامج التشغيل الضعيف الخاص بك" (BYOVD)، ويتابعون عمليات النشر بدقة لتعظيم التأثير. ومع ذلك، تظهر أحيانًا هفوات - مثل ترك مسارات المطورين في البرمجيات المجمعة - لتمنح لمحات نادرة عن أدواتهم المتطورة وسير العمل الداخلي لديهم.

الدفاع ضد التهديد غير المرئي

تسلط هذه الحملة الضوء على حقيقة مقلقة: مجرمو الإنترنت الحديثون يحولون العمليات التجارية اليومية إلى نقاط هجوم. بالنسبة للمنظمات، لم تعد الدفاعات التقليدية كافية. يوصي الخبراء باستخدام عارضات مستندات آمنة لفرق الموارد البشرية، وتدريب الموظفين بانتظام على التهديدات المرتبطة بالسير الذاتية، والحفاظ على نسخ احتياطية غير متصلة، ونشر حلول متقدمة لاكتشاف التهديدات على الأجهزة الطرفية.