SentinelLabs، قسم البحث والاستخبارات للتهديدات في شركة الأمن السيبراني SentinelOne، قد بحث في حملة هجوم جديدة ومتطورة تُدعى NimDoor، تستهدف أجهزة macOS من قبل الجهات السيئة في جمهورية كوريا الشمالية.
تشمل هذه الخطة المعقدة استخدام لغة البرمجة نيم لإدخال العديد من سلاسل الهجوم في الأجهزة المستخدمة في الشركات الصغيرة على شبكة الويب 3، وهذا هو الاتجاه الأخير.
كشف المحقق الذاتي المسمى ZachXBT أيضًا عن سلسلة من المدفوعات التي تمت لموظفي تكنولوجيا المعلومات الكوريين، والتي قد تكون جزءًا من مجموعة القراصنة الموهوبة هذه.
كيف تم تنفيذ الهجوم
تقرير مفصل من SentinelLabs يصف طريقة جديدة وغامضة لاختراق أجهزة Mac.
ابدأ بالطريقة المألوفة: انتحل شخصية جهة اتصال موثوقة لتحديد موعد اجتماع عبر Calendly، ثم سيتلقى الهدف بريدًا إلكترونيًا لتحديث تطبيق Zoom.
تنتهي البرامج النصية للتحديث بثلاثة أسطر من التعليمات البرمجية الضارة التي تعمل على استرداد وتنفيذ البرنامج النصي للمرحلة الثانية من الخادم الذي يتم التحكم فيه إلى رابط اجتماع Zoom الشرعي.
انقر على الرابط لتنزيل ملفي ثنائي لمك، مما يهيئ سلسلتين تنفيذ مستقلتين: الملف الأول سيحذف معلومات النظام العامة وبيانات التطبيق المحددة. يضمن الملف الثاني أن المهاجم سيحصل على وصول طويل الأمد إلى الجهاز المتأثر.
استمر سلسلة الهجوم من خلال تثبيت نصين Bash عبر Trojan. يتم استخدام نص واحد لاستهداف البيانات من متصفحات معينة: Arc و Brave و Firefox و Chrome و Edge. النص الآخر يسرق البيانات المشفرة من Telegram و blob المستخدم لفك تشفير تلك البيانات. بعد ذلك، يتم استخراج البيانات إلى الخادم الذي يتم التحكم فيه.
ما يجعل هذا النهج فريدًا ومليئًا بالتحديات بالنسبة لمحللي الأمان هو استخدام مكونات متعددة من البرمجيات الضارة وتقنيات مختلفة لإدخال وتزوير البرمجيات الضارة، مما يجعل اكتشافها أمرًا في غاية الصعوبة.
تتبع المال
زاك إكس بي تي، مُحقق بلوكتشين مجهول، نشر مؤخرًا على X أحدث اكتشافاته حول المدفوعات الكبيرة التي تم تنفيذها للعديد من المطورين في جمهورية كوريا الديمقراطية الشعبية (DPRK) الذين يعملون على العديد من المشاريع المختلفة منذ بداية العام.
لقد حددت ثمانية عمال يعملون لصالح 12 شركة مختلفة.
اكتشافه يشير إلى أنه تم إرسال 2.76 مليون دولار من USDC من حسابات Circle إلى عناوين مرتبطة بالمطورين كل شهر. هذه العناوين قريبة جدًا من عنوان تم إدراجه في القائمة السوداء من قبل Tether في عام 2023، لأنه مرتبط بالمتآمر المزعوم سيم هيون سوب.
زاك لا يزال يراقب مجموعات العناوين المماثلة، لكنه لم يكشف عن أي معلومات لأنها لا تزال نشطة.
لقد حذر من أنه بمجرد أن يحصل هؤلاء العمال على ملكية العقد، فإن المشروع الأساسي سيواجه خطرًا كبيرًا.
"أعتقد أنه عندما تستأجر مجموعة العديد من موظفي تكنولوجيا المعلومات DPRK ITW (، فإنها علامة معقولة لتحديد أن الشركة الناشئة ستفشل. على عكس التهديدات الأخرى التي تواجه الصناعة، فإن هؤلاء الموظفين لديهم القليل من التعقيد، لذلك هم في الغالب نتيجة لإهمال المجموعة نفسها."
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
كن حذراً! قراصنة كوريا الشمالية يستهدفون مستخدمي ماك بطريقة مبتكرة جداً
SentinelLabs، قسم البحث والاستخبارات للتهديدات في شركة الأمن السيبراني SentinelOne، قد بحث في حملة هجوم جديدة ومتطورة تُدعى NimDoor، تستهدف أجهزة macOS من قبل الجهات السيئة في جمهورية كوريا الشمالية. تشمل هذه الخطة المعقدة استخدام لغة البرمجة نيم لإدخال العديد من سلاسل الهجوم في الأجهزة المستخدمة في الشركات الصغيرة على شبكة الويب 3، وهذا هو الاتجاه الأخير. كشف المحقق الذاتي المسمى ZachXBT أيضًا عن سلسلة من المدفوعات التي تمت لموظفي تكنولوجيا المعلومات الكوريين، والتي قد تكون جزءًا من مجموعة القراصنة الموهوبة هذه. كيف تم تنفيذ الهجوم تقرير مفصل من SentinelLabs يصف طريقة جديدة وغامضة لاختراق أجهزة Mac. ابدأ بالطريقة المألوفة: انتحل شخصية جهة اتصال موثوقة لتحديد موعد اجتماع عبر Calendly، ثم سيتلقى الهدف بريدًا إلكترونيًا لتحديث تطبيق Zoom. تنتهي البرامج النصية للتحديث بثلاثة أسطر من التعليمات البرمجية الضارة التي تعمل على استرداد وتنفيذ البرنامج النصي للمرحلة الثانية من الخادم الذي يتم التحكم فيه إلى رابط اجتماع Zoom الشرعي. انقر على الرابط لتنزيل ملفي ثنائي لمك، مما يهيئ سلسلتين تنفيذ مستقلتين: الملف الأول سيحذف معلومات النظام العامة وبيانات التطبيق المحددة. يضمن الملف الثاني أن المهاجم سيحصل على وصول طويل الأمد إلى الجهاز المتأثر. استمر سلسلة الهجوم من خلال تثبيت نصين Bash عبر Trojan. يتم استخدام نص واحد لاستهداف البيانات من متصفحات معينة: Arc و Brave و Firefox و Chrome و Edge. النص الآخر يسرق البيانات المشفرة من Telegram و blob المستخدم لفك تشفير تلك البيانات. بعد ذلك، يتم استخراج البيانات إلى الخادم الذي يتم التحكم فيه. ما يجعل هذا النهج فريدًا ومليئًا بالتحديات بالنسبة لمحللي الأمان هو استخدام مكونات متعددة من البرمجيات الضارة وتقنيات مختلفة لإدخال وتزوير البرمجيات الضارة، مما يجعل اكتشافها أمرًا في غاية الصعوبة. تتبع المال زاك إكس بي تي، مُحقق بلوكتشين مجهول، نشر مؤخرًا على X أحدث اكتشافاته حول المدفوعات الكبيرة التي تم تنفيذها للعديد من المطورين في جمهورية كوريا الديمقراطية الشعبية (DPRK) الذين يعملون على العديد من المشاريع المختلفة منذ بداية العام. لقد حددت ثمانية عمال يعملون لصالح 12 شركة مختلفة. اكتشافه يشير إلى أنه تم إرسال 2.76 مليون دولار من USDC من حسابات Circle إلى عناوين مرتبطة بالمطورين كل شهر. هذه العناوين قريبة جدًا من عنوان تم إدراجه في القائمة السوداء من قبل Tether في عام 2023، لأنه مرتبط بالمتآمر المزعوم سيم هيون سوب. زاك لا يزال يراقب مجموعات العناوين المماثلة، لكنه لم يكشف عن أي معلومات لأنها لا تزال نشطة. لقد حذر من أنه بمجرد أن يحصل هؤلاء العمال على ملكية العقد، فإن المشروع الأساسي سيواجه خطرًا كبيرًا. "أعتقد أنه عندما تستأجر مجموعة العديد من موظفي تكنولوجيا المعلومات DPRK ITW (، فإنها علامة معقولة لتحديد أن الشركة الناشئة ستفشل. على عكس التهديدات الأخرى التي تواجه الصناعة، فإن هؤلاء الموظفين لديهم القليل من التعقيد، لذلك هم في الغالب نتيجة لإهمال المجموعة نفسها."