الصفحات
بحث
تحذير: قراصنة كوريا الشمالية يستهدفون أجهزة ماك بـ 7 برمجيات
الأمن السيبراني #أمن_سيبراني #ماك

تحذير: قراصنة كوريا الشمالية يستهدفون أجهزة ماك بـ 7 برمجيات

منذ ساعتين 4 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت أبحاث Mandiant التابعة لشركة جوجل عن حملة اختراق جديدة ومتطورة تقودها مجموعة UNC1069 الكورية الشمالية، تستهدف قطاع العملات الرقمية باستخدام مقاطع فيديو مولدة بالذكاء الاصطناعي وتقنية "ClickFix" لنشر برمجيات خبيثة على أنظمة macOS وWindows.

ووفقاً للتحقيقات التي أجراها الباحثون في هجوم استهدف شركة تكنولوجيا مالية، فإن الهدف الرئيسي لهذه الجهات الفاعلة هو تحقيق مكاسب مالية، حيث تم اكتشاف سبع عائلات متميزة من البرمجيات الخبيثة المخصصة لأجهزة ماك خلال الاستجابة للحادث.

سلسلة الهجوم: هندسة اجتماعية وتزييف عميق

اعتمد الهجوم بشكل كبير على الهندسة الاجتماعية، حيث تم التواصل مع الضحية عبر تطبيق تيليجرام من حساب مخترق يعود لمدير تنفيذي في شركة عملات رقمية. بعد بناء الثقة، شارك القراصنة رابط Calendly قاد الضحية إلى صفحة اجتماع Zoom مزيفة مستضافة على البنية التحتية للمهاجم.

وأفاد المستهدف بأن القراصنة عرضوا فيديو بتقنية "التزييف العميق" (Deepfake) لرئيس تنفيذي في شركة عملات رقمية أخرى. وبمجرد بدء "الاجتماع"، سهلت مكالمة الفيديو المزيفة خدعة أوحت للمستخدم بأنه يواجه مشاكل في الصوت.

تحت هذه الذريعة، وجه المهاجم الضحية لاستكشاف الأخطاء وإصلاحها باستخدام أوامر موجودة على صفحة ويب. واكتشف باحثو Mandiant أوامر لكل من Windows وmacOS تهدف لبدء سلسلة الإصابة، كما تظهر الصورة المرفقة التي توضح نظرة عامة على تسلسل الهجوم.

7 برمجيات خبيثة تستهدف macOS

وجد الباحثون أدلة على تنفيذ AppleScript بمجرد بدء الإصابة، تلاها نشر ملف ثنائي Mach-O ضار. وفي المرحلة التالية، نفذ المهاجم سبع عائلات برمجيات خبيثة متميزة:

  • WAVESHAPER: باب خلفي بلغة C++ يعمل كخلفية لجمع معلومات النظام وتنزيل الحمولات التالية.
  • HYPERCALL: أداة تنزيل تعتمد على Golang تقرأ تكويناً مشفراً وتحمل مكتبات ديناميكية ضارة.
  • HIDDENCALL: باب خلفي يعتمد على Golang يوفر وصولاً للوحة المفاتيح وتنفيذ الأوامر.
  • SILENCELIFT: باب خلفي بسيط يرسل معلومات المضيف ويمكنه مقاطعة اتصالات تيليجرام بصلاحيات الجذر.
  • DEEPBREATH: سارق بيانات يعتمد على Swift يتجاوز حمايات macOS لسرقة بيانات المتصفح وتيليجرام وملاحظات Apple.
  • SUGARLOADER: أداة تنزيل C++ تسترد الحمولات للمرحلة التالية وتثبت نفسها بشكل دائم.
  • CHROMEPUSH: سارق بيانات متصفح يتنكر كإضافة Google Docs Offline لجمع ضغطات المفاتيح وكلمات المرور.

وأشار الباحثون إلى أن حجم البرمجيات الخبيثة التي تم نشرها ضد فرد واحد يعتبر غير عادي، مما يؤكد أن الهجوم موجه للغاية لغرضين: "سرقة العملات الرقمية وتغذية حملات الهندسة الاجتماعية المستقبلية من خلال استغلال هوية الضحية وبياناته".

الجدير بالذكر أن مجموعة UNC1069 نشطة منذ عام 2018، وقد تطورت أساليبها من استهداف قطاع Web3 في عام 2023 إلى التركيز على الخدمات المالية والبنية التحتية للمحافظ الرقمية في العام الماضي.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##ماك ##عملات_رقمية ##تزييف_عميق

الأسئلة الشائعة

هي مجموعة تهديد كورية شمالية تتبعها Mandiant منذ عام 2018، وتستهدف حالياً القطاع المالي والعملات الرقمية.

يتم الاختراق عبر الهندسة الاجتماعية باستخدام حسابات تيليجرام مخترقة، ثم دعوة لاجتماع زووم مزيف يعرض فيديو تزييف عميق، وإقناع الضحية بتنفيذ أوامر برمجية بحجة إصلاح الصوت.

تستخدم المجموعة 7 برمجيات منها SUGARLOADER الأكثر اكتشافاً، و DEEPBREATH الذي يسرق بيانات المتصفح والملاحظات وكلمات المرور.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!