🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
الفئة:
ذكاء البرامج الضارةنوع التهديد:
برامج ضارةالتحفيز:
الماليةالمنطقة:
عالميمصدر*:
F6
مشاركة ممثل التهديد في منتدى الجرائم الإلكترونية [/caption]
ملخص - برنامج ضار لنظام macOS للتحايل
تهديدتأثيرتخفيف- يستهدف برنامج ضار جديد يطلق عليه اسم Gimmick، تم اكتشافه في مايو 2022، أجهزة macOS بنشاط.
- تهدف البرامج الضارة إلى الانتشار باستمرار باستخدام أسماء الملفات الفريدة للجهاز المستهدف.
- يكتسب Gimmick المثابرة ويتواصل من خلال خادم Google Drive C2 للنظام المستهدف.
- نموذج الملف الذي تستخدمه البرامج الضارة قادر أيضًا على تجاوز macOS Codesign.
- استخدم ميزة الأمان المضمنة للحماية من البرامج الضارة xProtect من Apple للكشف عن البرامج الضارة القائمة على التوقيع.
- قم بمراجعة ومراقبة مواقع استمرار البرامج الضارة بالإضافة إلى حركة مرور الشبكة لاكتشاف الأنشطة الشاذة.
التحليل والإسناد
معلومات من OSINT
- تُنسب برامج Gimmick الضارة بشكل كبير إلى مجموعة تجسس إلكتروني صينية تسمى Storm Cloud والتي لها تاريخ في استهداف المناطق الآسيوية.
- استنادًا إلى العديد من الموارد، اكتشف باحثو استخبارات التهديدات أن برامج Gimmick macOS الضارة تتواصل فقط من خلال خادم C2 المستضاف على Google Drive. تم الإبلاغ عن إرسال العينة الأولى من هذا البرنامج الضار في شهر مارس تقريبًا.
- ويتم توزيع هذه البرامج الضارة كملف CorelDRAW يزن 713.77 كيلوبايت: '2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f.mlwr'
- نموذج ملف CorelDraw هذا هو ملف من نوع Mach-O. Mach-O، وهو اختصار لتنسيق ملف كائن Mach، هو تنسيق ملف للملفات التنفيذية ورمز الكائن والمكتبات المشتركة والتعليمات البرمجية المحملة ديناميكيًا وعمليات التفريغ الأساسية.
- بناءً على هذه الملاحظة، حدد باحثو CloudSek العديد من التقنيات المستخدمة من قبل الجهات الفاعلة في مجال التهديد لتجاوز قيود Mach-O.
- يمكن للجهات الفاعلة في مجال التهديد أيضًا تضخيم انتشار هذه البرامج الضارة باستخدام هذه التقنيات.
تحليل منتدى الجرائم الإلكترونية
- اكتشف باحثو استخبارات التهديدات في CloudSek أيضًا جهة تهديد تبيع طريقة يمكنها تنفيذ ملف Mach-O على أي جهاز عبر جميع إصدارات macOS، دون الحاجة إلى التصميم المشترك للثنائي.
- يدعي الممثل أن هذه الطريقة تزيل بشكل فعال سمة «com.apple.quarantine» من الملف الثنائي، مما يتيح تنفيذ الكود على أي جهاز خارج الجهاز الخاص به.
- يشير ممثل التهديد إلى أن هذه الطريقة تنطبق فقط على أجهزة macOS وليس IOS.
- قام الممثل أيضًا بالإعلان عن برامج التحميل الضارة الخاصة به في منتدى الجرائم الإلكترونية ويبحث بنشاط عن شريك لنشرها.
مشاركة ممثل التهديد في منتدى الجرائم الإلكترونية [/caption]
مؤشرات التسوية (IOCs)
استنادًا إلى نتائج فحص VirusTotal وTriage، فيما يلي قائمة بـ IOCs لبرامج Gimmick macOS الضارة: MD523699799 f496 b8e872d05f19d2b397f8شا-1fe3a3e65b86d2b07654f9a6104c8c8c392c88b7e8شا-2562a9296 ac999e78f6c0bee8aca8bfa4d4638a30d9c8cc65124b1cfc 9caab5fالتأثير والتخفيف
التأثيرالتخفيف- تكتسب برامج Gimmick macOS الضارة الثبات وتتواصل من خلال خادم Google Drive C2 للنظام المستهدف.
- نموذج الملف الذي يستخدمه Gimmickقادر أيضًا على تجاوز macOS Codeign.
- البرامج الضارة قادرة على إصابة الأجهزة الأخرى الموجودة في الشبكة للحفاظ على الثبات وسرقة بيانات الاعتماد.
- إذا كشف الهجوم معلومات التعريف الشخصية (PII)، فقد يمكّن الجهات الفاعلة في مجال التهديد من تنسيق مخططات الهندسة الاجتماعية وهجمات التصيد الاحتيالي وحتى سرقة الهوية.
- نظرًا لأن إعادة استخدام كلمة المرور هي ممارسة شائعة، يمكن للجهات الفاعلة الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات أخرى للمستخدم.
- استخدم ميزة الأمان المضمنة للحماية من البرامج الضارة xProtect من Apple للكشف عن البرامج الضارة وإزالتها استنادًا إلى التوقيع.
- قم بمراجعة ومراقبة الحالات الشاذة في مواقع استمرار البرامج الضارة وكذلك شبكات النظام التي تعد مؤشرات على الإصابة المحتملة بالبرامج الضارة.
- تحقق من الحلول والتصحيحات الممكنة مع إبقاء المنافذ مفتوحة.
- استخدم MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول.
