شبكة الطيف الاخبارية - 4/17/2026 9:42:16 PM - GMT (+3 )
خدعت حملة هندسة اجتماعية في كوريا الشمالية تستهدف مستخدمي macOS ضحاياها لتنفيذ ملفات ضارة يدويًا عن طريق انتحال تحديث برنامج أدى إلى سرقة بيانات الاعتماد وأصول التشفير والبيانات الشخصية، وفقًا لوحدة استخبارات التهديدات التابعة لشركة Microsoft، MSTIC.
في تقرير جديد نُشر هذا الأسبوع، كشفت MSTIC عن الحملة – التي يديرها ممثل تهديد يتم تتبعه باسم Sapphire Sleet – والذي يسلط الضوء على مدى كون مطالبات المستخدم المقنعة وأدوات النظام الموثوقة أداة ذات قيمة عالية للمهاجمين من جميع المشارب. قالت MSTIC، إن هذه الحملة الخاصة أظهرت بعض المجموعات الجديدة من التقنيات التي تركز على نظام التشغيل macOS والتي، على الرغم من أنها ليست جديدة في حد ذاتها، إلا أنها تأتي بمثابة مفاجأة من ممثل تهديد مثل Sapphire Sleet.
وأوضح MSTIC كيف تقوم المجموعة الآن بتحويل تنفيذ الهجوم بعيدًا عن استغلال نقاط الضعف في البرامج إلى سياق “يبدأه المستخدم”. ومن الأهمية بمكان بالنسبة لـ Sapphire Sleet، أن يمكّن ذلك سلسلة الهجوم الخاصة بها من المضي قدمًا إلى ما هو أبعد من الإشراف على وسائل الحماية الموجودة على نظام التشغيل macOS، مثل الشفافية والموافقة والتحكم (TCC) وGatekeeper وإنفاذ الحجر الصحي وفحوصات التوثيق.
قال فريق MSTIC: “تحقق Sapphire Sleet سلسلة عدوى موثوقة للغاية تقلل من الاحتكاك التشغيلي وتزيد من احتمالية التسوية الناجحة – مما يشكل خطرًا كبيرًا على المؤسسات والأفراد المشاركين في العملات المشفرة والأصول الرقمية والتمويل والأهداف المماثلة ذات القيمة العالية التي من المعروف أن Sapphire Sleet تستهدفها”.
“بعد اكتشاف التهديد، شاركت Microsoft تفاصيل هذا النشاط مع Apple كجزء من عملية الكشف المسؤولة لدينا.”
بدعم من النظام المعزول والمنعزل والمعوز في بيونغ يانغ، بدأ عمل Sapphire Sleet منذ مارس 2020 تقريبًا ويشتبه في أن له صلات بعملية لازاروس الأكثر شهرة.
وفقًا لـ MSTIC، فهي متخصصة في استهداف قطاع الخدمات المالية، بما في ذلك شركات رأس المال الاستثماري والمنظمات المشاركة في blockchain والعملات المشفرة. الدافع الرئيسي لها هو نهب محافظ العملات المشفرة الخاصة بضحاياها لتوليد إيرادات لمصرفي الرواتب، وتعزيز الملكية الفكرية (IP) والأسرار التقنية المتعلقة بتداول blockchain والعملات المشفرة.
Sapphire Sleet هي جهة فاعلة حكومية كورية شمالية نشطة منذ مارس 2020 على الأقل وتستهدف في المقام الأول قطاع التمويل، بما في ذلك العملات المشفرة ورأس المال الاستثماري ومؤسسات blockchain. الدافع الأساسي لهذا الممثل هو سرقة محافظ العملات المشفرة لتوليد الإيرادات، واستهداف التكنولوجيا أو الملكية الفكرية المتعلقة بتداول العملات المشفرة ومنصات blockchain.
وفي هذه الحملة، شهد دليل اللعب الخاص بها قيام المجموعة بتشغيل ملفات تعريف توظيف مزيفة على الشبكات المهنية ومواقع التواصل الاجتماعي، والتي من خلالها تم ربط أهداف مختارة في محادثات حول فرص العمل. تمت بعد ذلك دعوة المرشحين “الناجحين” إلى مقابلة فنية تم خلالها توجيههم لتثبيت برنامج Sapphire Sleet الضار، المتخفي في شكل تحديث لمجموعة مطوري البرامج (SDK) لأداة مؤتمرات الفيديو Zoom.
الملف، تكبير SDK Update.scpt كان عبارة عن AppleScript مُجمَّع يتم فتحه افتراضيًا في macOS Script Editor، وهو تطبيق Apple موثوق به يمكنه تنفيذ أوامر shell التعسفية. تم إغراء الضحايا بإحساس زائف بالأمان من خلال مجموعات كبيرة من تعليمات الترقية الخادعة التي تحاكي تحديثًا روتينيًا للبرنامج. تم إدراج آلاف الأسطر الفارغة أسفل هذا النص لدفع النص الخبيث إلى ما هو أبعد من العرض القابل للتمرير على الفور – وهي تقنية بدائية ولكنها فعالة.
أطلق البرنامج النصي بعد ذلك أمرًا لبدء عملية موثوقة موقعة من Apple لتعزيز مظهر التحديث الحقيقي. بعد ذلك، قامت بتنفيذ حمولتها الضارة، واستعادت المحتوى الذي يتحكم فيه ممثل التهديد عبر حليقة، ثم تمريره مرة أخرى ليتم تشغيله. اتخذ هذا المحتوى أيضًا شكل AppleScript بحيث يمكن تشغيله مرة أخرى داخل محرر البرامج النصية لبدء تسليم الحمولة النهائية – منسق الهجوم – لاستطلاع النظام والعمليات الأخرى.
من المعروف أن البيانات التي تم تسريبها بواسطة Sapphire Sleet خلال هذه الهجمات قد تضمنت بيانات ملاحظات Apple، وبيانات محفظة العملات المشفرة، وبيانات المتصفح ومعلومات سلسلة المفاتيح، وبيانات اعتماد Telegram وبيانات الجلسة، من بين أشياء أخرى.
خلف الكواليس، نفذت Apple بالفعل إجراءات حماية على مستوى النظام الأساسي لاكتشاف وحظر البنية التحتية لـ Sapphire Sleet والبرامج الضارة، ونشرت وسائل حماية التصفح في Safari. كما أصدرت أيضًا توقيعات جديدة لاكتشاف وحظر البرامج الضارة المرتبطة بالحملة، والتي كان من المفترض أن تكون قد تم استلامها بالفعل بواسطة الأجهزة التي تعمل بنظام macOS.
نصحت MSTIC المنظمات التي قد تكون معرضة لخطر الوقوع ضحية لهذه الحملات – أو الحملات المماثلة – بإجراء تثقيف المستخدم حول التهديدات الصادرة عن وسائل التواصل الاجتماعي والمنصات الخارجية، وخاصة التوعية التي يبدو أنها تتطلب تنزيل برامج أو أدوات اجتماعات افتراضية، أو تنفيذ طلبات طرفية.
قد ترغب فرق الأمان أيضًا في التفكير في حظر أو تقييد تنفيذ ملفات AppleScript المجمعة وثنائيات Mach-O غير الموقعة التي تم تنزيلها من الإنترنت. وينبغي بالطبع فحص أي ملفات من هذا القبيل يتم تنزيلها من مصادر خارجية والتحقق منها بدقة. قد يكون من الحكمة أيضًا الحد من استخدام الضفيرة أو على الأقل تدقيقها، خاصة عند إرسالها إلى المترجمين الفوريين.
يجب على المدافعين أيضًا مراقبة التعديلات غير المصرح بها على قاعدة بيانات macOS TCC، وهي إحدى ميزات هذه الحملة، ومراجعة عمليات تثبيت LaunchDaemon وLaunchAgent
كما نصحت MSTIC المؤسسات والمستخدمين بتوخي الحذر عند نسخ ولصق البيانات الحساسة المتعلقة بالعملات المشفرة، مثل عناوين المحفظة أو بيانات الاعتماد، والتحقق والتحقق من تطابق المحتوى الملصق مع المصدر المقصود، وحماية محافظ العملات المشفرة وتدوير أي بيانات اعتماد مخزنة في المتصفح.
إقرأ المزيد