كبير مسؤولي أمن المعلومات لدى شركة مانموو 23pds يصدر تنبيهًا في 22 أبريل، يفيد بأن مجموعة القراصنة الكورية الشمالية Lazarus Group قد أطلقت مؤخرًا حزمة أدوات برمجيات خبيثة أصلية لنظام macOS بعنوان «Mach-O Man»، مخصصة لاستهداف قطاع العملات المشفرة وكبار مسؤولي المؤسسات عالية القيمة.
أسلوب الهجوم والأهداف
وفقًا لتقرير التحليل الصادر عن Mauro Eldritch، يستخدم الهجوم أسلوب ClickFix: إذ يقوم المهاجمون بإرسال رابط مُضلِّل عبر Telegram (باستخدام حسابات جهات اتصال تم اختراقها) يتنكر على هيئة دعوة اجتماع قانونية، وذلك لتوجيه الهدف إلى موقع ويب مزيف يقلّد Zoom أو Microsoft Teams أو Google Meet، مع مطالبة المستخدم بتنفيذ أوامر في طرفية macOS «لإصلاح» مشكلة الاتصال. يتيح ذلك للمهاجمين الحصول على صلاحيات وصول إلى النظام دون تفعيل إجراءات الحماية الأمنية التقليدية.
تشمل بيانات أهداف الهجوم: بيانات الاعتماد وCookie المحفوظة في المتصفح، وبيانات macOS Keychain، إضافةً إلى بيانات الإضافات في المتصفحات مثل Brave وVivaldi وOpera وChrome وFirefox وSafari. يتم تسريب البيانات المسروقة عبر Telegram Bot API؛ ويشير التقرير إلى أن المهاجمين كشفوا عن رمز بوت Telegram (خطأ في OPSEC)، ما يؤدي إلى تقويض أمان عملياتهم.
تستهدف الهجمات بشكل أساسي المطورين وكبار المسؤولين وصنّاع القرار ضمن قطاع التكنولوجيا المالية وقطاع العملات المشفرة، بالإضافة إلى بيئات المؤسسات عالية القيمة التي يستخدم فيها macOS على نطاق واسع.
المكونات الرئيسية لحزمة Mach-O Man
وفقًا للتحليل التقني لـ Mauro Eldritch، تتألف الحزمة من الوحدات الرئيسية التالية:
teamsSDK.bin: مُدخل أولي، يتخفّى على هيئة Teams أو Zoom أو Google أو تطبيقات النظام، ويقوم بتنفيذ التعرف الأساسي على البصمة النظامية
D1{سلسلة أحرف عشوائية}.bin: محلل للنظام، يجمع اسم المضيف ونوع وحدة المعالجة المركزية ومعلومات نظام التشغيل وقائمة إضافات المتصفح ويرسلها إلى خادم C2
minst2.bin: وحدة استمرارية، تنشئ دليلًا متخفّيًا باسم «Antivirus Service» وLaunchAgent، لضمان استمرار التشغيل بعد كل تسجيل دخول
macrasv2: المُسرِّب النهائي، يجمع بيانات الاعتماد وCookie الخاصة بالمتصفح ومدخلات macOS Keychain، ثم يقوم بتغليفها وتسريبها عبر Telegram مع حذف نفسه تلقائيًا
ملخص مؤشرات الاختراق الحرجة (IOC)
وفقًا لـ IOC المنشور في تقرير Mauro Eldritch:
عناوين IP خبيثة: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
نطاقات خبيثة: update-teams[.]live / livemicrosft[.]com
ملفات حرجة (جزئية): teamsSDK.bin وmacrasv2 وminst2.bin وlocalencode وD1YrHRTg.bin وD1yCPUyk.bin
منافذ اتصال C2: 8888 و9999؛ تستخدم بشكل أساسي سلسلة خصائص User-Agent لعميل Go HTTP
للمعلومات الكاملة الخاصة بالقيم التجزئية (hash) ومصفوفة ATT&CK، راجع تقرير البحث الأصلي لـ Mauro Eldritch.
الأسئلة الشائعة
ما هي القطاعات والأهداف التي تستهدفها حزمة «Mach-O Man»؟
وفقًا للتنبيه الصادر عن شركة مانموو 23pds وأبحاث BCA LTD، تستهدف حزمة «Mach-O Man» بشكل رئيسي قطاع التكنولوجيا المالية وقطاع العملات المشفرة، إضافةً إلى بيئات المؤسسات عالية القيمة التي تستخدم فيها macOS على نطاق واسع، وخاصة فئة المطورين وكبار المسؤولين وصنّاع القرار.
كيف يقوم المهاجمون بإقناع مستخدمي macOS بتنفيذ أوامر خبيثة؟
وفقًا لتحليل Mauro Eldritch، يقوم المهاجمون بإرسال رابط مُضلِّل عبر Telegram يتنكر على هيئة دعوة اجتماع قانونية، ويوجهون المستخدم إلى موقع ويب مزيف يقلّد Zoom أو Teams أو Google Meet، ثم يطلبون من المستخدم تنفيذ أوامر في طرفية macOS «لإصلاح» مشكلة الاتصال، ما يؤدي إلى تفعيل تثبيت البرمجيات الخبيثة.
كيف تحقق «Mach-O Man» تسريب البيانات؟
وفقًا للتحليل التقني لـ Mauro Eldritch، تقوم الوحدة النهائية macrasv2 بجمع بيانات اعتمادات المتصفح وCookie وبيانات macOS Keychain ثم تغليفها وتسريبها عبر Telegram Bot API؛ وفي الوقت نفسه، يستخدم المهاجمون سكربتًا لحذف الذات لمسح آثار النظام.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
حوت تشفّر يرفع دعوى قضائية ضد Coinbase بسبب سرقة $55M لداي
رفع حوت تشفير مجهول يُعرف باسم "D.B." دعوى قضائية يوم الاثنين ضد Coinbase ومشتبه بسرقة مزعوم، زاعمًا أن المنصة رفضت بشكل غير صحيح إعادة الأموال المجمدة المرتبطة بسرقة تشفير وقعت في 2024 بقيمة تقارب 55 مليون دولار من DAI، وفقًا لملف الدعوى الذي اطلع عليه The
CryptoFrontierمنذ 19 د
تكشف Bitcoin Core عن خلل يمكن أن يتيح للمنقبين تعطل العقد
كشف مطوّرو Bitcoin Core عن خلل عالي الخطورة يمكن أن يسمح للقائمين بالتعدين بإحداث تعطل عن بُعد لبعض عُقد Bitcoin.
الملخص
كشف Bitcoin Core عن الثغرة CVE-2024-52911، والمؤثرة في الإصدارات قبل 29.0، مع بقاء العُقد الأقدم معرضة عبر الإنترنت.
احتاج القائمون بالتعدين إلى كتل مكلفة لإثبات العمل لتفعيل ذلك
Cryptonewsمنذ 2 س
تصاعد نزاع على حيازة أصول مجمّدة بقيمة 71 مليون دولار من Aave بعد حكم بشأن هجوم كوريا الشمالية: الاستناد إلى قانون التأمين لمكافحة الإرهاب
تصاعدت وتيرة هجمات كوريا الشمالية، إذ جُمّدت أصول بقيمة 71 مليونًا و100 ألف دولار من Aave في الجولة الثالثة. عدّل المدّعون حجّتهم ليطالبوا بأن ETH تُعدّ أموالًا تابعة للدولة الكورية الشمالية بموجب قانون TRIA، مؤكدين أن الأمر يتعلق بالاحتيال لا بالسرقة بهدف تجاوز دفوع “اللص لا يملك حيازة المسروق”، كما يطعنون في أهلية Aave (standing) ومكانتها في الحوكمة. نجح DeFi United في جمع أكثر من 328 مليون دولار، ما يعني أن التمويل كافٍ لتعويض المستخدمين المتضررين. قد تتحول القضية إلى سابقة محورية في فقه قضايا DeFi وحوكمة الـDAO.
ChainNewsAbmediaمنذ 3 س
حوتٌ عملاق في مجال التشفير يقاضي Coinbase، متهمًا إياها برفض إعادة إيداع DAI المسروق بعد تجميده
ذكرت The Block في 6 مايو أن حوتًا مجهول الهوية في عالم العملات المشفرة يُدعى “DB” رفع دعوى الاثنين ضد Coinbase وضد اللص المزعوم “John Doe”، متهمًا Coinbase برفض إرجاع أموال DAI المجمدة المرتبطة بقضية سرقة عملات مشفرة وقعت في 2024، حتى بعد أن قدّمت Coinbase إفادة خطية تثبت أنها المالك الشرعي.
MarketWhisperمنذ 5 س
ضحايا هجمات كوريا الشمالية يقدمون طلبًا للحجز على $71M من اختراق Aave وإعادة صياغته على أنه احتيال
قدّم محامو ضحايا ثلاث قضايا إرهاب من كوريا الشمالية استجابة من 30 صفحة يوم الثلاثاء، حيث أعادوا صياغة اختراق Aave في 18 أبريل بوصفه احتيالاً لا سرقة. تحمل هذه التفرقة أهمية قانونية: إذ قد يمنح توصيف الحادث على أنه احتيال المهاجمين حقاً قانونياً في الأصول المقترضة
GateNewsمنذ 5 س
