الأمن السيبراني
#NimDoor
#البرمجيات_الضارة
NimDoor: برنامج ضار يستهدف منصات Web3 والعملات المشفرة
تستهدف حملة تهديد كورية شمالية منصات Web3 والعملات المشفرة باستخدام برنامج ضار مخصص لنظام macOS يُعرف باسم "NimDoor". هذه المعلومات جاءت من فيل ستوكز ورافاييل ساباتو من فريق أبحاث التهديدات SentinelLABS، الذين كتبوا منشورًا يوضح حملة التهديد المخصصة لنظام macOS والتي تستخدم ملفات تنفيذية تم تجميعها بلغة Nim، وهي لغة برمجة متعددة المنصات.
استغل المهاجمون المرتبطون بجمهورية كوريا الديمقراطية الشعبية (DPRK) تقنيات الهندسة الاجتماعية ومنصة المراسلة Telegram لإرشاد المستهدفين في مجالات Web3 والعملات المشفرة لتشغيل "نص تحديث SDK لبرنامج Zoom" مزيف، مما يبدأ سلسلة العدوى. وفي النهاية، يقوم البرنامج الضار بسرقة بيانات مستخدمي Telegram، وبيانات المتصفح، وبيانات اعتماد Apple Keychain.
على الرغم من أن الحملة جديدة، إلا أن هناك حملات أخرى مشابهة لها تم رصدها سابقًا. على سبيل المثال، في الصيف الماضي، أوضح الباحث الأمني باتريك واردل كيف قام المهاجمون الكوريون الشماليون بتوصيل برنامج ضار لجمع المعلومات على نظام macOS من خلال انتحال شخصية خدمة مكالمات الفيديو Microtalk. ورغم أنها ليست محددة لكوريا الشمالية، فقد وصفت Cado Security في أغسطس الماضي برنامجًا ضارًا لجمع المعلومات على نظام macOS يستهدف بيانات المتصفح وحقائب العملات المشفرة.
كما قدمت SentinelOne تفاصيل عن حملة سابقة حيث كان المهاجمون الكوريون الشماليون يجبرون المستهدفين على تثبيت برامج ضارة على نظام macOS تحت ذريعة إجراء مقابلة عمل. وهذا بالطبع لا ينبغي الخلط بينه وبين الزيادة في عمليات الاحتيال المتعلقة بالعمالة في مجال تكنولوجيا المعلومات من كوريا الشمالية.
تعتمد أبحاث SentinelOne جزئيًا على أبحاث سابقة نُشرت في أبريل من قبل Huntabil.IT وأخرى من Huntress في الشهر الماضي.
كيف يعمل NimDoor
وفقًا لستوكز وساباتو، تبدأ سلسلة الهجوم عندما يتظاهر المهاجم بأنه أحد جهات الاتصال الموثوقة للمستهدف على Telegram ويدعوه لتحديد موعد اجتماع عبر Calendly. يتم إرسال رابط اجتماع Zoom مع تعليمات لتثبيت "نص تحديث SDK لبرنامج Zoom". النص، "zoom_sdk_support.scpt"، مُعد بشكل مُعقد لإخفاء آخر ثلاثة أسطر منه - وهي كود ضار يسترجع وينفذ "نص المرحلة الثانية من خادم القيادة والتحكم".
يبدو أن نطاق القيادة والتحكم مشابه لرابط دعم Zoom. بالإضافة إلى ذلك، قال ستوكز وساباتو في المدونة، "النص اللاحق يقوم بتنزيل ملف HTML يُسمى check، والذي يتضمن رابط إعادة توجيه شرعي لبرنامج Zoom".
بمجرد أن يتمكن المهاجمون من اختراق النظام، يتم تثبيت عدة ملفات تنفيذية. على الرغم من أن عناصر كيفية عمل البرنامج الضار تختلف حسب حالات الحملة المتعقبة، إلا أن المكونات العامة للهجوم مقسمة إلى تلك المستخدمة لجمع المعلومات - وهي بيانات المتصفح، وبيانات Keychain، وبيانات مستخدمي Telegram - وتلك المستخدمة للحفاظ على الوجود على المدى الطويل.
سلط ستوكز وساباتو الضوء على العديد من الخصائص الفريدة المتعلقة بـ NimDoor، بما في ذلك آلية الاستمرارية التي "تستفيد من معالجات إشارات SIGINT/SIGTERM لتثبيت الاستمرارية عند إنهاء البرنامج الضار أو إعادة تشغيل النظام"، بالإضافة إلى "تقنية حقن العمليات والاتصالات عن بُعد عبر wss، النسخة المشفرة TLS من بروتوكول WebSocket." واعتبر الباحثون أن الأخيرة غير عادية بشكل خاص بالنسبة للبرامج الضارة على نظام macOS.
استنتج ستوكز وساباتو أن NimDoor يسلط الضوء على كيفية استخدام المهاجمين للغات البرمجة متعددة المنصات بطرق "تقدم مستويات جديدة من التعقيد للمحللين". في رسالة عبر البريد الإلكتروني، أخبر ستوكز Dark Reading أنه يجب على المدافعين مراجعة مؤشرات الاختراق المدرجة في المنشور والتأكد من أنهم يستخدمون حماية موثوقة للنقاط النهائية. علاوة على ذلك، كما هو الحال مع جميع حملات الهندسة الاجتماعية، يجب أن يكون المدافعون حذرين من محاولات الهجوم الشائعة.
يقول ستوكز: "يُنصح المستخدمون النهائيون وأولئك الذين يعملون في Web3 وCrypto بمعاملة أي اقترحات غير مرغوب فيها للاجتماعات من جهات الاتصال عبر وسائل التواصل الاجتماعي، وخاصة Telegram، بحذر. يجب اعتبار أي طلب لتحديث أو تنزيل برنامج لتسهيل مثل هذا الاجتماع علامة حمراء".
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!