يستخدم المتسللون الكوريون الشماليون نوعًا خاصًا من البرامج الضارة المعروفة باسم Nimdoor لاستهداف أجهزة كمبيوتر MacOS المستخدمة في Web3 وشركات التشفير ، وفقًا للتفاصيل التي تشاركها شركة أبحاث الأمن السيبراني. وبحسب ما ورد تستخدم فاعلات التهديدات البرامج النصية BASH لجمع ونقل المعلومات الحساسة ، مثل بيانات المتصفح ، وبيانات اعتماد مفاتيح ICLOUD ، وبيانات مستخدم Telegram. تعتمد الهجمات على الهندسة الاجتماعية (عبر منصة الدردشة) والبرامج النصية أو التحديثات الخبيثة ، مثل غيرها المرتبطة بجمهورية كوريا الشعبية الديمقراطية (DPRK).
يحافظ Nimdoor على الوصول بعد إنهاء البرامج الضارة أو إعادة تشغيل النظام
يوضح تحليل البرامج الضارة Nimdoor بواسطة Sentinel Labs أن ممثلي التهديد المرتبط بـ DPRK يعتمدون على أ مزيج من الثنائيات والبرامج النصية الخبيثة المكتوبة بثلاث لغات: C ++ و NIM و Applescript. وبحسب ما ورد يتم استخدام هذه الثنائيات المبللة NIM لاستهداف أجهزة الكمبيوتر Mac المستخدمة في شركات التشفير و Web3.
يتم الاتصال بالضحايا عبر تطبيقات المراسلة مثل Telegram ، ويستخدم المتسللين الهندسة الاجتماعية لإقناع شخص بالانضمام إلى مكالمة باستخدام خدمة الجدولة مثل Calendly. من أجل إصابة نظام الضحية ، يرسل ممثل التهديد بريدًا إلكترونيًا مع برنامج نصي “Zoom SDK Update” الضار الذي يقوم بتثبيت البرامج الضارة بصمت ، مع السماح له بالتواصل مع خادم الأمر والتحكم (C2).
بمجرد تثبيت البرامج الضارة على جهاز كمبيوتر MAC الخاص بـ Target ، يقوم المتسللون بتنفيذ البرامج النصية Bash (Terminal) للوصول إلى بيانات واختبارها من متصفحات مثل Google Chrome و Microsoft Edge و Arc و Brave و Firefox. يمكنه أيضًا سرقة بيانات اعتماد سلسلة مفاتيح iCloud وبيانات مستخدم Telegram من جهاز الهدف.
لاحظت شركة أبحاث الأمن السيبراني أيضًا أن البرامج الضارة Nimdoor تتميز “بآلية استمرار قائمة على الإشارة” (باستخدام معالجات Sigint/Sigterm) لإعادة تثبيت نفسها ومواصلة التشغيل على جهاز مستهدف ، حتى لو كانت العملية الخبيثة التي انتهت بها ، أو إعادة تشغيل النظام.
يمكنك قراءة المزيد حول البرامج الضارة Nimdoor المستخدمة لاستهداف شركات Web3 وشركات التشفير على موقع Sentinel Labs ، والذي يتضمن تفسيرات مفصلة لكيفية استخدام المتسللين الكوريين الشماليين للتقنيات الجديدة للوصول المستمر إلى أجهزة الكمبيوتر.
تحذر الشركة أيضًا من أن الجهات الفاعلة في التهديد تستخدم بشكل متزايد لغات البرمجة الأقل شعبية لاستهداف الضحايا. هذا لأنه نظرًا لأنهم أقل دراية بالمحللين وتقديم بعض الفوائد التقنية على اللغات الأكثر استخدامًا على نطاق واسع ، مع جعل من الصعب اكتشافها وحظرها باستخدام تدابير الأمان الحالية. .
لأحدث أخبار التكنولوجيا و المراجعات، اتبع الأدوات 360 xو فيسبوكو Whatsappو المواضيع و أخبار جوجل. للحصول على أحدث مقاطع الفيديو على الأدوات والتكنولوجيا ، اشترك في لدينا قناة يوتيوب. إذا كنت تريد معرفة كل شيء عن أفضل المؤثرين ، اتبعنا في المنزل من هو 360 على Instagram و يوتيوب.
