Lazarus گروپ نئے Mach-O Man حملے کے ساتھ خاص طور پر خطرناک ہو گیا ہے: CertiK
سیکورٹی ماہرین نے بدھ کو خبردار کیا کہ شمالی کوریا کا سرکاری زیر انتظام لازارس گروپ ایک نئی مہم چلا رہا ہے جسے "Mach-O Man" کے نام سے جانا جاتا ہے جو معمول کے کاروباری مواصلات کو اسناد کی چوری اور ڈیٹا کے نقصان کے براہ راست راستے میں بدل دیتا ہے۔
CertiK کی ایک سینئر بلاک چین سیکیورٹی ریسرچر نٹالی نیوزن نے بدھ کو سکے ڈیسک کو بتایا کہ اجتماعی، جس کا تخمینہ 2017 سے 6.7 بلین ڈالر لگایا گیا ہے، فنٹیک، کریپٹو کرنسی اور دیگر اعلیٰ قدر کے ایگزیکٹوز اور فرموں کو نشانہ بنا رہا ہے۔
صرف پچھلے دو ہفتوں میں، شمالی کوریا کے ہیکرز نے Drift اور KelpDAO کے کارناموں سے $500 ملین سے زیادہ کا فائدہ اٹھایا ہے جو ایک مسلسل مہم کے طور پر ظاہر ہوتا ہے۔ کرپٹو انڈسٹری کو لازارس کو اسی طرح دیکھنا شروع کرنے کی ضرورت ہے جس طرح بینک قومی ریاست کے سائبر اداکاروں کو دیکھتے ہیں: "ایک مستقل اور اچھی مالی امداد والے خطرے کے طور پر، نہ کہ صرف ایک اور خبر کی سرخی،" انہوں نے کہا۔
نیوزن نے کہا، "اس وقت جو چیز لازر کو خاص طور پر خطرناک بناتی ہے وہ ان کی سرگرمی کی سطح ہے۔" "KelpDAO، Drift، اور اب ایک نئی macOS میلویئر کٹ، سب ایک ہی مہینے کے اندر۔ یہ بے ترتیب ہیکنگ نہیں ہے؛ یہ ایک ریاست کی طرف سے چلنے والا مالیاتی آپریشن ہے جو اداروں کے پیمانے اور رفتار سے چلتا ہے۔"
انہوں نے کہا کہ شمالی کوریا نے کرپٹو چوری کو ایک منافع بخش قومی صنعت میں تبدیل کر دیا ہے، اور Mach-O Man اس عمل کی تازہ ترین پیداوار ہے۔ جبکہ لازارس نے اسے بنایا، دوسرے سائبر کرائم گروپ بھی اسے استعمال کر رہے ہیں۔
"یہ ایک ماڈیولر macOS میلویئر کٹ ہے جسے Lazarus گروپ کے بدنام زمانہ Chollima ڈویژن نے بنایا ہے۔ یہ ایپل کے ماحول کے لیے تیار کردہ مقامی Mach-O بائنریز استعمال کرتا ہے جہاں کرپٹو اور فنٹیک کام کرتے ہیں،" انہوں نے کہا۔
نیوزن نے کہا کہ Mach-O Man ایک ترسیل کا طریقہ استعمال کرتا ہے جسے ClickFix کہا جاتا ہے۔ "یہ واضح ہونا ضروری ہے کیونکہ بہت ساری کوریج دو الگ الگ چیزوں کو ملا رہی ہے،" اس نے نوٹ کیا۔ ClickFix ایک سوشل انجینئرنگ تکنیک ہے جہاں متاثرہ سے کہا جاتا ہے کہ وہ نقلی کنکشن کے مسئلے کو حل کرنے کے لیے اپنے ٹرمینل میں کمانڈ چسپاں کرے۔
سیکیورٹی ماہر اور تھریٹ انٹیلی جنس فرم BCA لمیٹڈ کے بانی مورو ایلڈرچ کے مطابق، یہ لازارس کے ذریعے ایگزیکٹوز کو ٹیلیگرام پر زوم، مائیکروسافٹ ٹیمز یا گوگل میٹ کال کے لیے "فوری" میٹنگ کی دعوت بھیجتا ہے۔
لنک ایک جعلی، لیکن قائل کرنے والی ویب سائٹ کی طرف لے جاتا ہے جو انہیں اپنے میک کے ٹرمینل میں "کنکشن کا مسئلہ حل کرنے" کے لیے ایک سادہ کمانڈ کو کاپی اور پیسٹ کرنے کی ہدایت کرتی ہے۔ ایسا کرنے سے متاثرین کارپوریٹ سسٹمز، SaaS پلیٹ فارمز اور مالی وسائل تک فوری رسائی فراہم کرتے ہیں۔ جب تک انہیں پتہ چلتا ہے کہ ان کا استحصال کیا گیا ہے، عام طور پر بہت دیر ہو چکی ہوتی ہے۔
اس حملے کے کئی تغیرات ہیں، سیکورٹی کے خطرے کے محقق ولادیمیر ایس نے X پر کہا۔ پہلے ہی ایسے معاملات موجود ہیں جب Lazarus کے حملہ آوروں نے وکندریقرت مالیاتی (DeFI) پروجیکٹس کے ڈومینز کو اس نئے میلویئر کے ساتھ ہائی جیک کر لیا ہے، اپنی ویب سائٹس کو Cloudflare کے جعلی پیغام سے تبدیل کر کے، ان سے رسائی فراہم کرنے کے لیے کمانڈ درج کرنے کو کہا ہے۔
Certik's Newson نے کہا، "یہ جعلی 'تصدیق کے اقدامات' متاثرین کی کی بورڈ شارٹ کٹس کے ذریعے رہنمائی کرتے ہیں جو نقصان دہ کمانڈ چلاتے ہیں۔" "صفحہ حقیقی لگتا ہے، ہدایات عام لگتی ہیں، اور متاثرہ شخص خود کارروائی شروع کرتا ہے - یہی وجہ ہے کہ روایتی سیکیورٹی کنٹرول اکثر اس سے محروم رہتے ہیں۔"
اس ہیک کے زیادہ تر متاثرین کو اس وقت تک احساس نہیں ہوگا جب تک کہ ان کی حفاظت کی خلاف ورزی نہیں ہوئی ہے، اس وقت میلویئر خود کو بھی مٹا چکا ہوگا۔
"وہ شاید ابھی تک نہیں جانتے ہیں،" انہوں نے کہا۔ "اگر وہ ایسا کرتے ہیں، تو وہ شاید اس بات کی شناخت نہیں کر سکتے کہ ان کو کس قسم نے متاثر کیا ہے۔"