كبير مسؤولي أمن المعلومات لدى شركة مانموو 23pds يصدر تنبيهًا في 22 أبريل، يفيد بأن مجموعة القراصنة الكورية الشمالية Lazarus Group قد أطلقت مؤخرًا حزمة أدوات برمجيات خبيثة أصلية لنظام macOS بعنوان «Mach-O Man»، مخصصة لاستهداف قطاع العملات المشفرة وكبار مسؤولي المؤسسات عالية القيمة.
أسلوب الهجوم والأهداف
وفقًا لتقرير التحليل الصادر عن Mauro Eldritch، يستخدم الهجوم أسلوب ClickFix: إذ يقوم المهاجمون بإرسال رابط مُضلِّل عبر Telegram (باستخدام حسابات جهات اتصال تم اختراقها) يتنكر على هيئة دعوة اجتماع قانونية، وذلك لتوجيه الهدف إلى موقع ويب مزيف يقلّد Zoom أو Microsoft Teams أو Google Meet، مع مطالبة المستخدم بتنفيذ أوامر في طرفية macOS «لإصلاح» مشكلة الاتصال. يتيح ذلك للمهاجمين الحصول على صلاحيات وصول إلى النظام دون تفعيل إجراءات الحماية الأمنية التقليدية.
تشمل بيانات أهداف الهجوم: بيانات الاعتماد وCookie المحفوظة في المتصفح، وبيانات macOS Keychain، إضافةً إلى بيانات الإضافات في المتصفحات مثل Brave وVivaldi وOpera وChrome وFirefox وSafari. يتم تسريب البيانات المسروقة عبر Telegram Bot API؛ ويشير التقرير إلى أن المهاجمين كشفوا عن رمز بوت Telegram (خطأ في OPSEC)، ما يؤدي إلى تقويض أمان عملياتهم.
تستهدف الهجمات بشكل أساسي المطورين وكبار المسؤولين وصنّاع القرار ضمن قطاع التكنولوجيا المالية وقطاع العملات المشفرة، بالإضافة إلى بيئات المؤسسات عالية القيمة التي يستخدم فيها macOS على نطاق واسع.
المكونات الرئيسية لحزمة Mach-O Man
وفقًا للتحليل التقني لـ Mauro Eldritch، تتألف الحزمة من الوحدات الرئيسية التالية:
teamsSDK.bin: مُدخل أولي، يتخفّى على هيئة Teams أو Zoom أو Google أو تطبيقات النظام، ويقوم بتنفيذ التعرف الأساسي على البصمة النظامية
D1{سلسلة أحرف عشوائية}.bin: محلل للنظام، يجمع اسم المضيف ونوع وحدة المعالجة المركزية ومعلومات نظام التشغيل وقائمة إضافات المتصفح ويرسلها إلى خادم C2
minst2.bin: وحدة استمرارية، تنشئ دليلًا متخفّيًا باسم «Antivirus Service» وLaunchAgent، لضمان استمرار التشغيل بعد كل تسجيل دخول
macrasv2: المُسرِّب النهائي، يجمع بيانات الاعتماد وCookie الخاصة بالمتصفح ومدخلات macOS Keychain، ثم يقوم بتغليفها وتسريبها عبر Telegram مع حذف نفسه تلقائيًا
ملخص مؤشرات الاختراق الحرجة (IOC)
وفقًا لـ IOC المنشور في تقرير Mauro Eldritch:
عناوين IP خبيثة: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
نطاقات خبيثة: update-teams[.]live / livemicrosft[.]com
ملفات حرجة (جزئية): teamsSDK.bin وmacrasv2 وminst2.bin وlocalencode وD1YrHRTg.bin وD1yCPUyk.bin
منافذ اتصال C2: 8888 و9999؛ تستخدم بشكل أساسي سلسلة خصائص User-Agent لعميل Go HTTP
للمعلومات الكاملة الخاصة بالقيم التجزئية (hash) ومصفوفة ATT&CK، راجع تقرير البحث الأصلي لـ Mauro Eldritch.
الأسئلة الشائعة
ما هي القطاعات والأهداف التي تستهدفها حزمة «Mach-O Man»؟
وفقًا للتنبيه الصادر عن شركة مانموو 23pds وأبحاث BCA LTD، تستهدف حزمة «Mach-O Man» بشكل رئيسي قطاع التكنولوجيا المالية وقطاع العملات المشفرة، إضافةً إلى بيئات المؤسسات عالية القيمة التي تستخدم فيها macOS على نطاق واسع، وخاصة فئة المطورين وكبار المسؤولين وصنّاع القرار.
كيف يقوم المهاجمون بإقناع مستخدمي macOS بتنفيذ أوامر خبيثة؟
وفقًا لتحليل Mauro Eldritch، يقوم المهاجمون بإرسال رابط مُضلِّل عبر Telegram يتنكر على هيئة دعوة اجتماع قانونية، ويوجهون المستخدم إلى موقع ويب مزيف يقلّد Zoom أو Teams أو Google Meet، ثم يطلبون من المستخدم تنفيذ أوامر في طرفية macOS «لإصلاح» مشكلة الاتصال، ما يؤدي إلى تفعيل تثبيت البرمجيات الخبيثة.
كيف تحقق «Mach-O Man» تسريب البيانات؟
وفقًا للتحليل التقني لـ Mauro Eldritch، تقوم الوحدة النهائية macrasv2 بجمع بيانات اعتمادات المتصفح وCookie وبيانات macOS Keychain ثم تغليفها وتسريبها عبر Telegram Bot API؛ وفي الوقت نفسه، يستخدم المهاجمون سكربتًا لحذف الذات لمسح آثار النظام.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Circle 首席经济学家提议在 KelpDAO 余波期间上调 Aave 上的 USDC 利率
Gate 新闻消息,4月23日——Circle 首席经济学家 Gordon Liao 本周在 Aave v3 Ethereum Core 上提议上调 USDC 出借参数,此前发生了一起 $292 百万 KelpDAO rsETH 漏洞利用事件,已在整个协议中引发流动性危机。Liao 的征求意见(Request for Comment)提议将“斜率 2("Slope 2")”提高至 40%,并设定 50% 的目标,同时将最佳利用率下调,以吸引新的存款并缓解市场压力。
该提案源自对 Aave 的 USDC 池的急剧压力:该池已连续四天基本被“满利用率”状态卡住。在当前约 14% 的利率水平下,Liao 认为,偿还几乎完全被队列中的赎回所吸收,而不是恢复可用流动性。KelpDAO 事件已在 DeFi 市场蔓延,导致 Aave 的总锁仓价值(TVL)从漏洞利用前高于 十亿美元的水平大幅跌至约 153 亿美元;在核心市场出现了大幅赎回以及持续的利用率压力。
关于 Aave 治理论坛的社区反馈迅速引发了清算担忧。针对该提案分享的分析发现,目标利率曲线可能在 30 天内将约 7010 万美元的相关实质性债务推近清算;其中一只大型钱包占据了绝大部分敞口。批评者认为,更陡峭的利率将把痛点从陷入赎回队列的出借方转移到使用健康因子缓冲较薄的借款方。此外,一些社区成员还质疑:作为 USDC 的发行方,Circle 为何不提供直接的流动性支持,而是选择推进治理层面的解决方案。Liao 指出,他的发帖仅反映“个人观点,并不代表 Circle”。
与此同时,链上分析师 EmberCN 报告称,KelpDAO 攻击者已将其仍掌控的近全部 75,700 ETH——约 百万——在约一天半内换成比特币,主要通过 THORChain。此次活动产生了约 百万的 THORChain 交易量,以及约 910,000 美元的费用。
GateNewsمنذ 46 د
المنصة المركزية الكبرى تُحسن نظام كشف الاحتيال باستخدام التعلم الآلي ومحرك القواعد، وتخفض زمن الاستجابة إلى ساعات
بوابة الأخبار، 23 أبريل — أعلن أحد أكبر منصات التداول المركزية عن إجراء تحديث شامل على نظامه لمكافحة الاحتيال عبر دمج نماذج التعلم الآلي مع محركات قائمة على القواعد، وتنفيذ استراتيجية مسار مزدوج حيث تتولى النماذج الدفاع على المدى الطويل وتمكّن القواعد الاستجابة السريعة. يخلق الإطار الموحد
GateNewsمنذ 1 س
Meta Pool تحذر من عقد احتيالي ينتحل صفة مجموعة الإيداع الشرعية والرمز الرسمي
رسالة أخبار بوابة، 23 أبريل — حددت Meta Pool عقدًا ذكيًا مشبوهًا يحاول انتحال صفة مجموعة الإيداع الشرعية (staking pool) الخاصة بها والرمز الخاص بها. وأكدت المنصة أن العقد الاحتيالي لا يرتبط بـ Meta Pool أو بأي مزود رسمي لـ NEAR للاستيكينغ السائل
GateNewsمنذ 1 س
Volo Protocol 确认 350 万美元漏洞,并承诺弥补损失
Gate 新闻消息,4月23日——Volo Protocol 确认:4月22日发生了一起安全漏洞,导致约350万美元的数字资产损失。该漏洞针对了特定的金库,这些金库供客户存入比特币、代币化黄金和稳定币使用,尽管更广泛的平台未受影响
GateNewsمنذ 1 س
SocialFi平台创始人因勒颈指控被捕:并与“拉地毯”诉讼相关
Gate News رسالة,4月23日——据纽约刑事法院记录,Solana上的SocialFi平台创始人Benjamin Pasternak(26岁)于周二因二级勒颈和三级袭击指控被捕。此次逮捕是在3月31日发生的一起事件之后。Pasternak
GateNewsمنذ 2 س
منصة Zondacrypto البولندية توقف العمليات؛ العملاء فقدوا $95 مليونًا، وقد يسعون للحصول على تعويض من الدولة
رسالة بوابة الأخبار، 23 أبريل — أوقفت منصة تداول العملات المشفرة البولندية Zondacrypto عملياتها هذا الأسبوع في ظل مشكلات سيولة، حيث حدد المدعون مئاتًا من الضحايا المحتملين الذين فقدوا إمكانية الوصول إلى ما لا يقل عن 350 مليون زلوتي بولندي (حوالي $95 مليون). وقال المدعون إن
GateNewsمنذ 3 س
