عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج NimDoor الخبيث

برنامج NimDoor الخبيث

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

كشف خبراء الأمن السيبراني عن عائلة برمجيات خبيثة جديدة وخفية تُعرف باسم NimDoor، تُشكل تهديدًا خطيرًا بفضل تقنياتها المتطورة للاستمرار، وآلياتها الخفية لسرقة البيانات، وقدراتها المتطورة على التهرب. تُعزى هذه الحملة الخبيثة إلى جهات تهديد متحالفة مع كوريا الشمالية تستهدف قطاعي الويب 3 والعملات المشفرة.

قراصنة من كوريا الشمالية يتحولون إلى Nim وmacOS

يستخدم الآن مُخرِجو التهديدات المشتبه في ارتباطهم بكوريا الشمالية لغة برمجة Nim في ترسانة برامجهم الخبيثة. يُمثل هذا تطورًا مستمرًا في أدواتهم، حيث استخدمت حملات سابقة لغات مثل Go وRust. يُظهر الاستخدام الجديد لـ Nim نيةً للابتكار، لا سيما في صياغة تهديدات متعددة المنصات يصعب اكتشافها وتحليلها.

في هذه الحملة، يستهدف المهاجمون على وجه التحديد المنظمات التي تركز على Web3 والعملات المشفرة، مما يشير إلى عملية ذات دوافع مالية تهدف إلى تعطيل البنية التحتية المالية الرقمية أو التسلل إليها.

تقنيات macOS غير المعتادة

ما يجعل NimDoor مثيرًا للقلق بشكل خاص هو نهجه غير التقليدي في التعامل مع عدوى macOS. أبرزها أنه يستخدم:

  • حقن العملية، وهي تقنية نادرة لبرامج ضارة تعمل على نظام macOS، تسمح للتهديد باختطاف العمليات المشروعة والتلاعب بها.
  • قنوات اتصال WSS (WebSocket Secure) للتفاعلات C2 المشفرة.
  • طريقة استمرارية جديدة تستفيد من معالجات الإشارة SIGINT وSIGTERM، مما يسمح للبرامج الضارة بإعادة تثبيت نفسها عند إنهاء عملها أو عند إعادة تشغيل النظام.

وتسمح هذه الميزات بالحفاظ على مستوى منخفض والبقاء مرنًا في مواجهة الانقطاعات الشائعة التي يبدأها المستخدم أو النظام.

سلسلة هجمات مدعومة بالهندسة الاجتماعية

يبدأ الهجوم باستراتيجية الهندسة الاجتماعية:

  • يتم الاتصال بالضحايا عبر منصات مثل Telegram وإغرائهم بجدولة اجتماع Zoom باستخدام Calendly.
  • يتلقون بريدًا إلكترونيًا مزيفًا يحتوي على نص برمجي لتحديث Zoom SDK، بهدف ضمان التوافق مع برنامج مؤتمرات الفيديو.

يؤدي هذا إلى تنفيذ برنامج AppleScript خبيث، يُنزّل برنامجًا نصيًا ثانويًا من خادم بعيد أثناء إعادة توجيه المستخدم إلى رابط Zoom شرعي. يستخرج البرنامج النصي الثانوي ملفات ZIP التي تحتوي على:

  • الثنائيات لتأسيس الاستمرارية
  • نصوص Bash لسرقة بيانات النظام

دور InjectWithDyldArm64

يعتمد جوهر عملية الإصابة على مُحمِّل C++ يُعرف باسم InjectWithDyldArm64، أو ببساطة InjectWithDyld. يُعد هذا المُكوّن أساسيًا لنشر البرامج الضارة بفعالية وسرية. يبدأ بفك تشفير ملفين ثنائيين مُضمَّنين، أحدهما باسم "Target" والآخر باسم "trojan1_arm64". بعد فك التشفير، يُشغِّل عملية Target في حالة تعليق. عند إيقاف العملية مؤقتًا، يُحقن المُحمِّل الملف الثنائي trojan1_arm64 فيها ثم يُستأنف التنفيذ. تسمح هذه الطريقة بتوصيل الحمولات الخبيثة وتنشيطها بطريقة سرية للغاية، متجاوزةً بذلك دفاعات النظام القياسية ومُقلِّلةً من احتمالية اكتشافها.

سرقة بيانات الاعتماد ومراقبة النظام

بمجرد تفعيله، يُنشئ البرنامج الخبيث اتصالاً بخادم قيادة وتحكم (C2) عن بُعد، مما يسمح له بتنفيذ العديد من العمليات الخبيثة. تشمل هذه العمليات جمع معلومات النظام التفصيلية، وتنفيذ أوامر عشوائية صادرة عن بُعد، والتنقل عبر مجلدات مختلفة، وإرسال نتائج هذه العمليات إلى المهاجم.

يتصاعد التهديد بمشاركة مكون trojan1_arm64، الذي يُعزز الهجوم باسترداد حمولتين إضافيتين من البنية التحتية C2. صُممت هذه الحمولات خصيصًا لجمع معلومات حساسة. أهدافها الرئيسية هي بيانات اعتماد تسجيل الدخول المخزنة في متصفحات الويب الشائعة الاستخدام - Arc وBrave وChrome وEdge وFirefox، بالإضافة إلى بيانات المستخدم من تطبيق المراسلة Telegram.

آليات الاستمرار

بالإضافة إلى مكوناته الأساسية، ينشر البرنامج الخبيث أيضًا ملفات تنفيذية مبنية على Nim تُفعّل وحدة تُعرف باسم CoreKitAgent. تلعب هذه الوحدة دورًا حاسمًا في ضمان مرونة البرنامج الخبيث من خلال رصد أي محاولات لإيقاف تشغيله. وللحفاظ على وجوده، يُثبّت معالجات إشارات مخصصة لـ SIGINT وSIGTERM، مما يسمح له بإعادة التشغيل تلقائيًا إذا حاول مستخدم أو أداة أمنية إيقاف تشغيله. تُعزز هذه الآلية المدمجة بشكل كبير استمرارية البرنامج الخبيث.

يستخدم المهاجمون أيضًا لغة برمجة AppleScript على نطاق واسع، مستغلينها ليس فقط خلال مرحلة الإصابة الأولية، بل أيضًا طوال فترة تشغيل البرنامج الخبيث للمراقبة والتحكم المستمرين. من خلال هذه القدرة على البرمجة النصية، يرسل البرنامج الخبيث إشارات دورية كل 30 ثانية إلى خوادم C2 المُبرمجة مسبقًا، ويستخرج تفاصيل العمليات الجارية حاليًا، وينفذ أوامر جديدة صادرة عن الجهة المُهددة عن بُعد.

لماذا يجعل نيم البرمجيات الخبيثة أكثر خطورة؟

يمنح استخدام لغة برمجة Nim المهاجمين مزايا ملحوظة. قدرة Nim على تنفيذ الدوال وقت التجميع تُمكّنهم من:

  • تضمين منطق معقد يصعب اكتشافه
  • إخفاء تدفق التحكم داخل الثنائيات
  • دمج كود المطور ووقت التشغيل، مما يجعل التحليل أكثر صعوبة بشكل كبير

يؤدي هذا إلى إنشاء ملفات ثنائية مضغوطة وعالية الأداء مع انخفاض الرؤية لمحركات الكشف عن البرامج الضارة التقليدية.

يُعدّ NimDoor تذكيرًا صارخًا بأن نظام macOS لم يعد محصنًا ضد التهديدات المتقدمة والمستمرة. ومع استهداف الجهات الفاعلة الكورية الشمالية هذه المنصة باستخدام تقنيات متطورة ولغات برمجة أقل شهرة، أصبح البقاء على اطلاع ويقظة أمرًا بالغ الأهمية أكثر من أي وقت مضى.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,519
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...