الأمن السيبراني MacOS, TodoSwift, التشغيل, الجديد, الشمالية, الضار, القرصنة, الكورية, برنامج, بمجموعات, لنظام, مرتبط eshrag أغسطس 21, 2024

برنامج TodoSwift الضار الجديد لنظام التشغيل MacOS مرتبط بمجموعات القرصنة الكورية الشمالية

21 أغسطس 2024رافي لاكشمانانالبرامج الضارة / العملة المشفرة

اكتشف باحثو الأمن السيبراني سلالة جديدة من البرامج الضارة لنظام التشغيل MacOS يطلق عليها اسم TodoSwift والتي يقولون إنها تظهر قواسم مشتركة مع البرامج الضارة المعروفة التي تستخدمها مجموعات القرصنة الكورية الشمالية.

“يشارك هذا التطبيق العديد من السلوكيات مع البرامج الضارة التي رأيناها والتي نشأت في كوريا الشمالية (جمهورية كوريا الشعبية الديمقراطية) – وتحديدًا ممثل التهديد المعروف باسم BlueNoroff – مثل KANDYKORN وRustBucket،” كريستوفر لوبيز، الباحث الأمني في كاندجي. قال في التحليل.

يشير RustBucket، الذي ظهر لأول مرة في يوليو 2023، إلى باب خلفي قائم على AppleScript قادر على جلب حمولات المرحلة التالية من خادم القيادة والتحكم (C2).

في أواخر العام الماضي، كشفت Elastic Security Labs أيضًا عن برنامج ضار آخر لنظام التشغيل MacOS تم تتبعه باسم KANDYKORN والذي تم نشره فيما يتعلق بهجوم سيبراني يستهدف مهندسي blockchain في منصة تبادل العملات المشفرة غير المسماة.

يتم تقديم KANDYKORN عن طريق سلسلة عدوى متطورة متعددة المراحل، وتمتلك إمكانات الوصول إلى البيانات وإخراجها من كمبيوتر الضحية. إنه مصمم أيضًا لإنهاء العمليات التعسفية وتنفيذ الأوامر على المضيف.

تكمن السمة المشتركة التي تربط بين عائلتي البرامج الضارة في استخدام linkpc[.]net لأغراض C2. تم تقييم كل من RustBucket وKANDYKORN على أنهما من عمل طاقم قرصنة يُدعى Lazarus Group (ومجموعتها الفرعية المعروفة باسم BlueNoroff).

وقالت شركة Elastic في ذلك الوقت: “تواصل كوريا الديمقراطية، عبر وحدات مثل مجموعة Lazarus، استهداف شركات صناعة العملات المشفرة بهدف سرقة العملات المشفرة من أجل التحايل على العقوبات الدولية التي تعيق نمو اقتصادها وطموحاتها”.

“في هذا الاختراق، استهدفوا مهندسي blockchain النشطين على خادم دردشة عام بإغراء مصمم للتحدث عن مهاراتهم واهتماماتهم، مع الوعد الأساسي بتحقيق مكاسب مالية.”

تظهر أحدث النتائج من منصة إدارة وأمان أجهزة Apple أن TodoSwift يتم توزيعه في شكل TodoTasks، والذي يتكون من مكون قطارة.

هذه الوحدة عبارة عن تطبيق واجهة مستخدم رسومية مكتوب بلغة SwiftUI تم تصميمه لعرض مستند PDF مسلح للضحية، أثناء تنزيل وتنفيذ المرحلة الثانية بشكل سري، وهي تقنية مستخدمة في RustBucket أيضًا.

ملف PDF المغري عبارة عن مستند غير ضار يتعلق بالبيتكوين ويتم استضافته على Google Drive، بينما يتم استرداد الحمولة الضارة من مجال يتحكم فيه الممثل (“buy2x”[.]com”). لا يزال التحقيق الإضافي في التفاصيل الدقيقة للثنائي مستمرًا.

وقال لوبيز: “إن استخدام عنوان URL لـ Google Drive وتمرير عنوان URL C2 كوسيطة إطلاق للمرحلة الثانية الثنائية يتوافق مع البرامج الضارة السابقة لكوريا الديمقراطية التي تؤثر على أنظمة macOS”.

وجدت هذه المادة مثيرة للاهتمام؟ تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link