“`html

احذر! قراصنة كوريا الشمالية يستهدفون مستخدمي Mac بطريقة إبداعية جداً

في عالم التكنولوجيا المتسارع والتهديدات السيبرانية المتطورة باستمرار، يظهر هجوم جديد ومثير للقلق يستهدف شريحة محددة من المستخدمين: أصحاب أجهزة Mac. هذه المرة، يقف وراء الهجوم ممثلون سيئون مرتبطون بكوريا الشمالية، ويستخدمون أساليب مبتكرة ومخادعة بشكل خاص. كشفت الأبحاث الحديثة عن تفاصيل هذا الهجوم، مسلطة الضوء على مدى تعقيد التحديات التي تواجه أمن المعلومات في العصر الرقمي.

تعمقت SentinelLabs، ذراع الأبحاث والمعلومات الاستخبارية للتهديدات في شركة الأمن السيبراني SentinelOne، في حملة هجومية جديدة ومتطورة تُعرف باسم NimDoor. تستهدف هذه الحملة أجهزة macOS من قبل عناصر تابعة لجمهورية كوريا الديمقراطية الشعبية (DPRK). ما يميز هذه الحملة هو التركيز على أجهزة Mac واستخدام تقنيات حديثة، بالإضافة إلى ارتباطها المالي بعمليات يبدو أنها تمول نشاط القراصنة.

ينطوي هذا المخطط المعقد على استخدام لغة البرمجة Nim لزرع سلاسل هجوم متعددة على الأجهزة المستخدمة في شركات Web3 الصغيرة، وهو اتجاه حديث في مجال التكنولوجيا. يمثل استهداف قطاع Web3، الذي غالباً ما يتعامل مع أصول رقمية ذات قيمة عالية، دافعاً مالياً واضحاً للقراصنة، مما يجعل هذه الشركات أهدافاً جذابة بشكل خاص.

لم يقتصر الكشف على الجانب التقني فقط. فقد كشف المحقق الذي يطلق على نفسه اسم ZachXBT، المعروف بعمله في تتبع المعاملات المالية على البلوك تشين، عن سلسلة من المدفوعات تمت لموظفي تكنولوجيا المعلومات الكوريين. قد يكون هؤلاء الموظفون جزءاً من هذه المجموعة المبتكرة من القراصنة، مما يربط الجانب التقني للهجوم بالجانب المالي والبشري.

كيف يتم تنفيذ الهجوم؟

يصف التقرير المفصل الصادر عن SentinelLabs مقاربة جديدة ومخفية لاختراق أجهزة Mac. يبدأ الهجوم بطريقة أصبحت مألوفة في عالم الاحتيال الرقمي، ولكنها لا تزال فعالة للغاية: انتحال شخصية جهة اتصال موثوقة لجدولة اجتماع عبر Calendly. بعد جدولة الاجتماع، يتلقى الضحية بريداً إلكترونياً يطلب منه تحديث تطبيق Zoom.

هذه الخطوة الأولى تستغل ثقة المستخدم في تطبيقات التواصل الشائعة والحاجة المستمرة للتحديثات. عادةً ما يُقدم طلب التحديث بطريقة تبدو شرعية ومقنعة. إذا قام المستخدم بتنزيل وتشغيل البرنامج النصي للتحديث المقدم في البريد الإلكتروني، فإن العملية الخبيثة تبدأ.

البرنامج النصي للتحديث، الذي يبدو في البداية غير ضار، ينتهي بثلاثة أسطر من التعليمات البرمجية الخبيثة. هذه الأسطر هي المفتاح لبدء المرحلة الثانية من الهجوم. تقوم هذه التعليمات البرمجية باسترداد وتنفيذ برنامج نصي للمرحلة الثانية من خادم يتحكم فيه المهاجمون، وذلك باستخدام رابط اجتماع Zoom شرعي كغطاء. هذه التقنية تساعد على إخفاء النشاط الخبيث داخل حركة مرور شرعية مرتبطة بـ Zoom.

عند النقر على الرابط (المخفي داخل عملية التحديث)، يتم تنزيل ملفين ثنائيين (binaries) خاصين بأجهزة Mac تلقائياً. هذان الملفان يبدآن سلسلتي تنفيذ مستقلتين داخل الجهاز المخترق:

1. السلسلة الأولى: تقوم بجمع وسحب معلومات عامة عن النظام وبيانات خاصة بالتطبيقات المثبتة. تشمل هذه المعلومات عادةً تفاصيل حول نظام التشغيل، الأجهزة، قائمة التطبيقات، وربما ملفات التكوين الهامة.
2. السلسلة الثانية: تضمن للمهاجمين القدرة على الوصول طويل الأمد إلى الجهاز المتأثر. يتم ذلك عادةً عن طريق تثبيت برامج خلفية (backdoors) أو آليات استمرارية تسمح للقراصنة بالاتصال بالجهاز والتحكم فيه في المستقبل، حتى بعد إعادة تشغيل الجهاز.

تستمر سلسلة الهجوم بعد ذلك بتثبيت برنامجين نصيين لـ Bash (Bash scripts) عبر حصان طروادة (Trojan). يتم استخدام أحد هذه البرامج النصية لاستهداف البيانات الحساسة من متصفحات إنترنت محددة وشائعة الاستخدام. قائمة المتصفحات المستهدفة تشمل:

• Arc
• Brave
• Firefox
• Chrome
• Edge

يقوم البرنامج النصي الثاني بسرقة البيانات المشفرة من تطبيق Telegram، بالإضافة إلى الـ blob المستخدم لفك تشفيرها. Telegram، كونه تطبيق مراسلة شائع يستخدمه العديد، وغالباً ما يحتوي على محادثات وبيانات حساسة، يمثل هدفاً قيماً للقراصنة. القدرة على فك تشفير هذه البيانات تمنح المهاجمين وصولاً غير مصرح به إلى محتوى اتصالات الضحية.

بعد جمع البيانات من المتصفحات وTelegram، يتم استخراج هذه البيانات الحساسة وإرسالها إلى الخادم الذي يتحكم فيه المهاجمون. هذا يمثل ذروة مرحلة سرقة البيانات في الهجوم.

ما يجعل هذا النهج فريداً ويشكل تحدياً للمحللين الأمنيين هو استخدام مكونات برامج ضارة متعددة وتقنيات متنوعة تُستخدم لحقن البرامج الضارة وإخفائها (spoofing). هذه التنوعية والتعددية في الأساليب تجعل من الصعب جداً اكتشاف الهجوم بواسطة أنظمة الكشف التقليدية التي قد تكون مصممة للكشف عن توقيعات أو سلوكيات برامج ضارة معينة. القدرة على التكيف والتبديل بين التقنيات تزيد من فرص نجاح الهجوم وتصعيب عملية التحليل والاستجابة له.

تجدر الإشارة إلى أن هجمات مشابهة قد تم اكتشافها من قبل فرق أمنية أخرى. فقد رصدت Huntabil.IT هجمات مماثلة في أبريل، وقامت Huntress بالكشف عن نشاط مماثل في يونيو. هذا يشير إلى أن حملة NimDoor أو على الأقل أساليب مشابهة يتم استخدامها بنشاط ضد أهداف متنوعة، مؤكدة على الحاجة الملحة لليقظة الأمنية.

تتبع الأموال

في تطور موازٍ ولكنه مرتبط، نشر ZachXBT، المحقق المستعار في عالم البلوك تشين، مؤخراً على منصة X (تويتر سابقاً) أحدث النتائج التي توصل إليها بشأن مدفوعات كبيرة تمت لمختلف المطورين في كوريا الديمقراطية الشعبية (DPRK) يعملون على مشاريع متنوعة منذ بداية العام. غالباً ما يُعرف أن كوريا الشمالية تستخدم الأنشطة السيبرانية لتمويل برامجها، وهذه النتائج تقدم دليلاً إضافياً على ذلك.

تمكن ZachXBT من تحديد ثمانية عمال منفصلين يعملون لدى 12 شركة مختلفة. هذه الشركات متنوعة، لكن التركيز على Web3 والهجمات الأخيرة يشير إلى احتمال كبير لتداخل الأنشطة.

تشير النتائج التي توصل إليها إلى أنه تم إرسال 2.76 مليون دولار أمريكي بعملة USDC شهرياً من حسابات تابعة لـ Circle إلى عناوين مرتبطة بهؤلاء المطورين. هذا المبلغ الضخم يدل على حجم النشاط المالي المرتبط بهؤلاء العمال. والأكثر إثارة للقلق هو أن هذه العناوين قريبة جداً من عنوان تم إدراجه في القائمة السوداء من قبل Tether في عام 2023، حيث أنه مرتبط بشخص يُزعم أنه متآمر ويدعى Sim Hyon Sop. هذا الارتباط المباشر بعناوين تم تصنيفها بالفعل على أنها مشبوهة يزيد من قوة الادعاء بأن هؤلاء العمال قد يكونون جزءاً من عمليات غير شرعية.

يواصل ZachXBT مراقبة مجموعات مماثلة من العناوين، لكنه لم ينشر أي معلومات عنها علناً، لأنها لا تزال نشطة. هذا يعني أن النشاط المالي مستمر وأن المزيد من التتبع قد يكون ممكناً.

لقد أصدر ZachXBT تحذيراً ينص على أنه بمجرد أن يأخذ هؤلاء العمال ملكية عقود معينة (ربما في مشاريع Web3 أو عقود ذكية)، يصبح المشروع الأساسي في خطر كبير. يشير هذا إلى أن هؤلاء “العمال” قد لا يكونون مجرد مطورين عاديين، بل قد يكون لديهم أجندة خبيثة لاستغلال المشاريع التي يعملون عليها.

وفي تحليل مثير للاهتمام، صرح ZachXBT: “أعتقد أنه عندما يقوم فريق بتوظيف عدة عمال تكنولوجيا معلومات من جمهورية كوريا الديمقراطية الشعبية (DPRK ITWs)، فإن ذلك يعد مؤشراً جيداً لتحديد أن الشركة الناشئة ستكون فاشلة. على عكس التهديدات الأخرى للصناعة، هؤلاء العمال لديهم تعقيد قليل، لذا فإن الأمر في الغالب نتيجة لإهمال الفريق نفسه.” هذا التصريح يلقي باللوم جزئياً على الشركات التي تقوم بالتوظيف دون التحقق الكافي، ويشير إلى أن الخطر لا يكمن فقط في براعة القراصنة ولكن أيضاً في الثغرات الإدارية والأمنية داخل الشركات المستهدفة.

الهجوم الذي يستهدف مستخدمي Mac عبر حملة NimDoor، والتحقيقات المالية الموازية التي كشفت عن ارتباطات محتملة بتمويل كوريا الشمالية، يؤكدان على أن التهديدات السيبرانية متعددة الأوجه وتتطلب يقظة شاملة. يجب على مستخدمي Mac، وخاصة أولئك العاملين في مجال Web3، أن يكونوا حذرين للغاية من طلبات التحديث غير المتوقعة، حتى لو بدت قادمة من مصادر موثوقة. كما يجب على الشركات إجراء تحقيقات دقيقة حول خلفية الموظفين والمقاولين، وخاصة عند التعامل مع أفراد أو مجموعات قد تكون مرتبطة بجهات معروفة بأنشطتها السيبرانية الخبيثة.

حماية النفس تتطلب تحديثات مستمرة لأنظمة التشغيل والبرامج، استخدام حلول أمنية موثوقة، والأهم من ذلك، الوعي بعمليات الاحتيال الشائعة والتهديدات الجديدة. قصة NimDoor هي تذكير صارخ بأن القراصنة يتطورون باستمرار، ولكن بالمعرفة واليقظة، يمكن تقليل مخاطر الوقوع ضحية لهم.

“`