أصبحت مجموعة Lazarus خطيرة بشكل خاص مع هجوم Mach-O Man الجديد: CertiK

حذر خبراء أمنيون يوم الأربعاء من أن مجموعة Lazarus التي تديرها الدولة في كوريا الشمالية تدير حملة جديدة تعرف باسم "Mach-O Man" والتي تحول الاتصالات التجارية الروتينية إلى طريق مباشر لسرقة بيانات الاعتماد وفقدان البيانات.

وقالت ناتالي نيوسون، وهي باحثة كبيرة في مجال أمن البلوكتشين في CertiK، لموقع CoinDesk يوم الأربعاء، إن المجموعة، مع نهب تراكمي يقدر بـ 6.7 مليار دولار منذ عام 2017، تستهدف التكنولوجيا المالية والعملات المشفرة وغيرها من المديرين التنفيذيين والشركات ذات القيمة العالية.

وفي الأسبوعين الماضيين فقط، استولى المتسللون الكوريون الشماليون على أكثر من 500 مليون دولار من برمجيات Drift وKelpDAO فيما يبدو أنها حملة مستمرة. وقالت إن صناعة العملات المشفرة بحاجة إلى البدء في النظر إلى "لازاروس" بنفس الطريقة التي تنظر بها البنوك إلى الجهات الفاعلة السيبرانية التابعة للدولة القومية: "كتهديد مستمر وممول جيدًا، وليس مجرد عنوان إخباري آخر".

وقال نيوسون: "ما يجعل لازاروس خطيرًا بشكل خاص الآن هو مستوى نشاطهم". "KelpDAO، وDrift، والآن مجموعة البرامج الضارة الجديدة لنظام التشغيل macOS، كل ذلك في نفس الشهر. هذه ليست عملية اختراق عشوائية؛ إنها عملية مالية موجهة من الدولة تعمل على نطاق وسرعة نموذجية للمؤسسات."

وقالت إن كوريا الشمالية حولت سرقة العملات المشفرة إلى صناعة وطنية مربحة، ويعد Mach-O Man مجرد أحدث منتج من هذه العملية. بينما قام Lazarus بإنشائه، فإن مجموعات الجرائم الإلكترونية الأخرى تستخدمه أيضًا.

وقالت: "إنها مجموعة برامج ضارة لنظام التشغيل MacOS أنشأها قسم Chollima سيئ السمعة التابع لمجموعة Lazarus Group. وهي تستخدم ثنائيات Mach-O الأصلية المصممة لبيئات Apple حيث تعمل العملات المشفرة والتكنولوجيا المالية".

قال نيوسون إن Mach-O Man يستخدم طريقة توصيل تُعرف باسم ClickFix. وأشارت إلى أنه "من المهم أن نكون واضحين لأن الكثير من التغطية تخلط بين شيئين منفصلين". ClickFix هي إحدى تقنيات الهندسة الاجتماعية حيث يُطلب من الضحية لصق أمر في الجهاز الطرفي الخاص به لإصلاح مشكلة محاكاة الاتصال.

إنه يعمل عن طريق إرسال Lazarus للمديرين التنفيذيين دعوة لاجتماع “عاجل” عبر Telegram لإجراء مكالمة Zoom أو Microsoft Teams أو Google Meet، وفقًا لماورو إلدريتش، الخبير الأمني ومؤسس شركة استخبارات التهديدات BCA Ltd.

يؤدي الرابط إلى موقع ويب مزيف ولكنه مقنع يرشدهم إلى نسخ ولصق أمر بسيط في جهاز Mac الخاص بهم من أجل "إصلاح مشكلة الاتصال". ومن خلال القيام بذلك، يوفر الضحايا إمكانية الوصول الفوري إلى أنظمة الشركة ومنصات SaaS والموارد المالية. وعندما يكتشفون أنهم تعرضوا للاستغلال، عادة ما يكون الأوان قد فات.

قال باحث التهديدات الأمنية فلاديمير س. على X إن هناك العديد من الأشكال المختلفة لهذا الهجوم. هناك بالفعل حالات قام فيها مهاجمو Lazarus باختطاف نطاقات مشاريع التمويل اللامركزي (DeFI) باستخدام هذه البرامج الضارة الجديدة عن طريق استبدال مواقع الويب الخاصة بهم برسالة مزيفة من Cloudflare، تطلب منهم إدخال أمر لمنح الوصول.

وقال نيوسون من سيرتيك: "إن خطوات التحقق الزائفة هذه توجه الضحايا من خلال اختصارات لوحة المفاتيح التي تقوم بتشغيل أمر ضار". "تبدو الصفحة حقيقية، وتبدو التعليمات عادية، ويبدأ الضحية الإجراء بنفسه - ولهذا السبب غالبًا ما تفوته الضوابط الأمنية التقليدية."

لن يدرك معظم ضحايا هذا الاختراق أن أمانهم قد تم اختراقه إلا بعد حدوث الضرر، وفي ذلك الوقت، تكون البرامج الضارة قد مسحت نفسها بالفعل أيضًا.

وقالت: "من المرجح أنهم لا يعرفون ذلك بعد". "إذا فعلوا ذلك، فمن المحتمل أنهم لا يستطيعون تحديد المتغير الذي أثر عليهم".