يقوم المتسللون الكوريون الشماليون بتحديث برنامج BeaverTail الضار لاستهداف مستخدمي MacOS
لقد قام باحثون في مجال الأمن السيبراني اكتشف نسخة محدثة من برنامج خبيث معروف للسرقة قام المهاجمون التابعون لجمهورية كوريا الشعبية الديمقراطية (DPRK) بتقديمه كجزء من حملات تجسس إلكترونية سابقة تستهدف الباحثين عن عمل.
الأداة المعنية هي ملف صورة قرص Apple macOS (DMG) المسمى “MiroTalk.dmg” الذي يحاكي خدمة مكالمات الفيديو المشروعة يحمل نفس الاسم، ولكنه في الواقع بمثابة قناة لتوصيل نسخة أصلية من BeaverTail، كما يقول الباحث الأمني باتريك واردل قال.
يشير BeaverTail إلى برنامج ضار لسرقة JavaScript تم توثيقه لأول مرة بواسطة Palo Alto Networks Unit 42 في نوفمبر 2023 كجزء من حملة يطلق عليها اسم Contagious Interview والتي تهدف إلى إصابة مطوري البرامج بالبرامج الضارة من خلال عملية مقابلة عمل مفترضة. يقوم Securonix بتتبع نفس النشاط تحت الاسم المستعار DEV#POPPER.
إلى جانب سرقة المعلومات الحساسة من متصفحات الويب ومحافظ العملات المشفرة، فإن البرامج الضارة قادرة على تقديم حمولات إضافية مثل InvisibleFerret، وهو باب خلفي لـ Python مسؤول عن تنزيل AnyDesk للوصول المستمر عن بُعد.
في حين تم توزيع BeaverTail عبر حزم npm وهمية مستضافة على GitHub وسجل حزم npm، فإن أحدث النتائج تشير إلى تحول في ناقل التوزيع.
“إذا كان علي أن أخمن، فمن المحتمل أن يكون قراصنة جمهورية كوريا الشعبية الديمقراطية قد اقتربوا من ضحاياهم المحتملين، وطلبوا منهم الانضمام إلى اجتماع توظيف، عن طريق تنزيل وتنفيذ (النسخة المصابة من) MiroTalk المستضافة على mirotalk”.[.]صافي”، قال واردل.
يكشف تحليل ملف DMG غير الموقع أنه يسهل سرقة البيانات من محافظ العملات المشفرة وiCloud Keychain ومتصفحات الويب مثل Google Chrome وBrave وOpera. علاوة على ذلك، فهو مصمم لتنزيل وتنفيذ نصوص Python الإضافية من خادم بعيد (على سبيل المثال، InvisibleFerret).
وقال واردل: “إن المتسللين الكوريين الشماليين هم مجموعة ماكرة وبارعون جدًا في اختراق أهداف نظام التشغيل macOS، على الرغم من أن أسلوبهم غالبًا ما يعتمد على الهندسة الاجتماعية (وبالتالي من وجهة نظر فنية فهي غير مثيرة للإعجاب إلى حد ما)”.
ويأتي الكشف باسم Phylum مكشوف حزمة npm ضارة جديدة تسمى call-blockflow وهي مطابقة فعليًا لمكتبة ربط المكالمات الشرعية ولكنها تتضمن وظائف معقدة لتنزيل ملف ثنائي عن بعد مع بذل جهود مضنية للتحليق تحت الرادار.
وقالت في بيان تمت مشاركته مع The Hacker News: “في هذا الهجوم، على الرغم من عدم اختراق حزمة ربط الاتصال، فإن حزمة تدفق المكالمات المسلحة تنسخ كل الثقة والشرعية الأصلية لتعزيز نجاح الهجوم”.
الحزمة، التي يُشتبه في أنها من عمل مجموعة لازاروس المرتبطة بكوريا الشمالية، والتي لم يتم نشرها بعد حوالي ساعة ونصف من تحميلها على موقع npm، اجتذبت ما مجموعه 18 التنزيلات. وتشير الأدلة إلى أن هذا النشاط، الذي يضم أكثر من ثلاثين حزمة خبيثة، كان جاريًا على شكل موجات منذ سبتمبر 2023.
“هذه الحزم، بمجرد تثبيتها، ستقوم بتنزيل ملف بعيد، وفك تشفيره، وتنفيذ وظيفة مصدرة منه، ثم تغطية مساراتها بدقة عن طريق حذف الملفات وإعادة تسميتها،” شركة أمن سلسلة توريد البرمجيات. قال. “ترك هذا دليل الحزمة في حالة تبدو حميدة بعد التثبيت.”
كما أنه يتبع أيضًا نصيحة من JPCERT/CC، تحذر من الهجمات الإلكترونية التي ينظمها الممثل الكوري الشمالي Kimsuky والتي تستهدف المنظمات اليابانية.
تبدأ عملية الإصابة برسائل تصيد تنتحل صفة مؤسسات أمنية ودبلوماسية، وتحتوي على ملف تنفيذي ضار يؤدي، عند فتحه، إلى تنزيل برنامج Visual Basic Script (VBS)، والذي بدوره يسترد برنامج PowerShell النصي لجمع حساب المستخدم، معلومات النظام والشبكة وكذلك تعداد الملفات والعمليات.
يتم بعد ذلك نقل المعلومات المجمعة إلى خادم الأوامر والتحكم (C2)، الذي يستجيب مرة أخرى بملف VBS ثانٍ يتم تنفيذه بعد ذلك لجلب وتشغيل برنامج Keylogger المستند إلى PowerShell المسمى InfoKey.
“على الرغم من وجود تقارير قليلة عن أنشطة هجومية من قبل كيمسوكي تستهدف منظمات في اليابان، إلا أن هناك احتمال أن تكون اليابان مستهدفة أيضًا بشكل نشط،” JPCERT/CC قال.
إرسال التعليق