بحث
NimDoor: البرمجيات الخبيثة الجديدة التي تستهدف macOS (50-60 حرف)
الأمن السيبراني #NimDoor #macOS

NimDoor: البرمجيات الخبيثة الجديدة التي تستهدف macOS (50-60 حرف)

تاريخ النشر: آخر تحديث: 52 مشاهدة 0 تعليق 3 دقائق قراءة
52 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في الآونة الأخيرة، استخدم هاكرز مدعومون من الدولة الكورية الشمالية عائلة جديدة من البرمجيات الخبيثة لنظام macOS تُعرف باسم NimDoor، في حملة تستهدف منظمات الويب 3 والعملات المشفرة.

NimDoor crypto-theft macOS malware revives itself when killed
NimDoor crypto-theft macOS malware revives itself when killed

أظهر الباحثون الذين قاموا بتحليل الحمولات أن المهاجم اعتمد على تقنيات غير عادية وآلية استمرارية تعتمد على إشارات لم تُشاهد من قبل.

تقنيات متقدمة في البرمجيات الخبيثة لنظام macOS

في تقرير اليوم، أفاد باحثو شركة SentinelOne أن المهاجم استخدم ثنائيات مكتوبة بلغة C++ وNim (تُعرف مجتمعة باسم NimDoor) على نظام macOS، وهو خيار غير عادي.

يعتبر أحد الثنائيات المجمعة بـ Nim، 'installer'، مسؤولاً عن الإعداد الأولي، مما يُعد الدلائل ومسارات التكوين. كما يقوم بإسقاط ثنائيات أخرى - 'GoogIe LLC' و'CoreKitAgent' - على نظام الضحية.

تأخذ GoogIe LLC زمام الأمور لجمع بيانات البيئة وإنشاء ملف تكوين مشفر بتنسيق hex، وتكتب ذلك في مسار مؤقت. كما تُعد LaunchAgent (com.google.update.plist) لاستمرارية العمل، مما يعيد تشغيل GoogIe LLC عند تسجيل الدخول ويخزن مفاتيح المصادقة للمرحلة التالية.

المكون الأكثر تطورًا المستخدم في الهجوم هو CoreKitAgent، وهو الحمولة الرئيسية لإطار عمل NimDoor، والذي يعمل كبرنامج ثنائي مدفوع بالأحداث، مستخدمًا آلية kqueue في نظام macOS لإدارة التنفيذ بشكل غير متزامن.

تتضمن الميزات الأكثر تميزًا آليات الاستمرارية المعتمدة على الإشارات، حيث تقوم بتثبيت معالجات مخصصة لـ SIGINT وSIGTERM.

Registering custom signal handlers for SIGINT and SIGTERM
Registering custom signal handlers for SIGINT and SIGTERM

هذه إشارات تُستخدم عادةً لإنهاء العمليات، ولكن عند التقاط أي منها، يقوم CoreKitAgent بتفعيل روتين إعادة التثبيت الذي يعيد نشر GoogIe LLC، مستعيدًا سلسلة الاستمرارية.

عندما يتم تفعيلها، يقوم CoreKitAgent بالتقاط هذه الإشارات وكتابة LaunchAgent لاستمرارية العمل، ونسخة من GoogIe LLC كحمولة، ونسخة من نفسه كطروادة، مع تعيين أذونات تنفيذ على الأخيرين عبر وظيفة addExecutionPermissions_user95startup95mainZutils_u32.

يضمن هذا السلوك أن أي إنهاء للمستخدم للبرمجيات الخبيثة يؤدي إلى نشر المكونات الأساسية، مما يجعل الكود مقاومًا للإجراءات الدفاعية الأساسية.

يقوم CoreKitAgent بفك تشفير وتشغيل AppleScript مشفر بتنسيق hex يتصل بالبنية التحتية للمهاجم كل 30 ثانية، ويستخرج بيانات النظام، وينفذ أوامر عن بُعد عبر osascript، مما يوفر باب خلفي خفيف الوزن.

بالتوازي مع تنفيذ NimDoor، يُفعل 'zoom_sdk_support.scpt' سلسلة حقن ثانية تتضمن 'trojan1_arm64'، والتي تبدأ اتصالات C2 المعتمدة على WSS وتنزل نصين (upl وtlgrm) لتسهيل سرقة البيانات.

في حالة محمل 'zoom_sdk_support.scpt'، لاحظ الباحثون أنه يتضمن أكثر من 10,000 سطر فارغ لأغراض التعتيم.

تقوم Upl باستخراج البيانات من متصفحات الويب وتجمع Keychain و.bash_history و.zsh_history، وتقوم بإخراجها باستخدام curl إلى dataupload[.]store.

تركز Tlgrm على سرقة قاعدة بيانات Telegram جنبًا إلى جنب مع .tempkeyEncrypted، على الأرجح باستخدام تلك لتشفير الرسائل التي تبادلها الهدف على المنصة.

بشكل عام، يُعتبر إطار عمل NimDoor وباقي الأبواب الخلفية التي حللها SentinelLABS من أكثر عائلات البرمجيات الخبيثة تعقيدًا المرتبطة بالجهات الفاعلة الكورية الشمالية.

تشير مرونة البرمجيات الخبيثة، التي تمنحها المرونة، واستخدام تقنيات جديدة مثل الاستمرارية المعتمدة على الإشارات إلى أن مشغلي DPRK يطورون أدواتهم لتوسيع قدراتهم عبر الأنظمة الأساسية.

يتضمن تقرير SentinelLABS مؤشرات على التهديدات المتعلقة بالنطاقات ومسارات الملفات والنصوص والثنائيات التي استخدمها المهاجمون الكوريون الشماليون في الهجمات التي تهدف إلى سرقة أصول العملات المشفرة والمعلومات الحساسة.

الخلاصة

تُظهر هذه الحملة كيف تتطور أساليب المهاجمين، مما يستدعي ضرورة اتخاذ تدابير أمان متقدمة لحماية الأنظمة من هذه التهديدات المتزايدة.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!