قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) عامل تهدید JINX-0164

عامل تهدید JINX-0164

تا Mezo در تهدید مداوم پیشرفته (APT), بدافزار, بدافزار موبایل
ترجمه به:

یک عامل تهدید که قبلاً مستند نشده بود و با نام JINX-0164 شناسایی شده بود، یک کمپین سایبری بسیار هدفمند را علیه سازمان‌های ارز دیجیتال ترتیب داده است و با استفاده از مهندسی اجتماعی با مضمون استخدام و بدافزار macOS سفارشی، دارایی‌های دیجیتال را سرقت می‌کند. این گروه که حداقل از اواسط سال 2025 فعال بوده، به شدت بر توسعه‌دهندگان تمرکز داشته و حداقل در یک حادثه تأیید شده، یک نفوذ به زنجیره تأمین نرم‌افزار انجام داده است.

این کمپین ترکیبی پیشرفته از تاکتیک‌های استخدام فریبنده، استقرار بدافزار و نفوذ عمیق به محیط‌های CI/CD را نشان می‌دهد. مهاجمان با به خطر انداختن ایستگاه‌های کاری کارمندان، با موفقیت به زیرساخت‌های توسعه و سیستم‌های توزیع کد نفوذ کردند و دامنه و تأثیر نفوذها را به میزان قابل توجهی افزایش دادند.

کلاهبرداری‌های استخدامی به نقطه ورود تبدیل می‌شوند

JINX-0164 بر متقاعد کردن کاربران لینکدین برای برقراری ارتباط با توسعه‌دهندگان و کارمندان هدفمند شاغل در سازمان‌های مرتبط با ارزهای دیجیتال متکی است. از قربانیان دعوت می‌شود تا در جلسات مجازی میزبانی شده در دامنه‌های جعلی که خود را به عنوان پلتفرم‌های تله‌کنفرانس قانونی جا می‌زنند، شرکت کنند.

در طول فرآیند راه‌اندازی جلسه جعلی، به اهداف دستور داده می‌شود تا چیزی را که به نظر می‌رسد یک کلاینت جلسه یا یک اصلاحیه فنی است، دانلود کنند. در واقع، فایل دانلود شده با بازیابی یک تروجان دسترسی از راه دور و سرقت اطلاعات macOS مبتنی بر پایتون به نام AUDIOFIX از یک دامنه توزیع درایور جعلی، 'apple.driver-store.com'، زنجیره آلودگی را آغاز می‌کند.

فرآیند آلوده‌سازی از طریق یک اسکریپت bash که قادر به شناسایی معماری سیستم قربانی است، تسهیل می‌شود و به بدافزار اجازه می‌دهد تا به طور یکپارچه بر روی دستگاه‌های macOS مبتنی بر Intel و Apple Silicon عمل کند. این payload خود را به عنوان یک درایور صوتی سیستم به نام 'coreaudiod' پنهان می‌کند، به صورت محلی به عنوان 'ChromeUpdater' ذخیره می‌شود و با استفاده از مکانیسم‌های launchctl macOS برای حفظ پایداری، راه‌اندازی می‌شود.

AUDIOFIX امکان نفوذ عمیق به سیستم را فراهم می‌کند

پس از استقرار، AUDIOFIX عملیات سرقت و شناسایی گسترده‌ای را برای اعتبارنامه‌ها انجام می‌دهد و در عین حال از حرکت جانبی به زیرساخت‌های داخلی نیز پشتیبانی می‌کند. محققان مشاهده کردند که این بدافزار برای تزریق بارهای مخرب به سیستم‌های توسعه و تغییر کد منبع در تلاش برای به خطر انداختن نقاط انتهایی اضافی و برداشت اعتبارنامه‌های کیف پول ارز دیجیتال استفاده می‌شود.

این بدافزار قادر به سرقت طیف گسترده‌ای از اطلاعات حساس از جمله موارد زیر است:

  • اطلاعات کاربری مدیریت رمز عبور، داده‌های مرورگر، فایل‌های iCloud Keychain، کلیدهای SSH، اطلاعات کاربری مدیر، سوابق تاریخچه کنسول و فایل‌های پیکربندی
  • آدرس‌های کیف پول ارزهای دیجیتال، داده‌های افزونه مرورگر مرتبط با سرویس‌های ارز دیجیتال و جلسات فعال از Discord، Slack و Telegram

فراتر از سرقت اطلاعات، AUDIOFIX همچنین از اجرای دستورات از راه دور، حذف فایل، تحویل بار داده، فعالیت‌های شناسایی و استخراج داده‌ها از سیستم‌های آلوده پشتیبانی می‌کند.

MiniRAT از طریق سوءاستفاده از زنجیره تأمین، تهدید را گسترش می‌دهد

یکی دیگر از اجزای اصلی این عملیات، MiniRAT است، یک در پشتی مبتنی بر Go که به یک بسته npm آسیب‌دیده به نام '@velora-dex/sdk' متصل است. این بسته با یک ابزار مالی غیرمتمرکز قانونی مرتبط بود که برای مبادله توکن، معاملات دلتا و سفارشات محدود در پلتفرم VeloraDEX استفاده می‌شد.

نسخه مخرب این بسته، یک اسکریپت shell را از یک سرور راه دور بازیابی می‌کرد و در نهایت یک فایل باینری MiniRAT مخصوص macOS را مستقر می‌کرد. پس از نصب، این بدافزار به مهاجمان امکان آپلود فایل‌ها، اجرای دستورات shell دلخواه و دانلود payloadهای اضافی از زیرساخت‌های تحت کنترل مهاجم را می‌داد.

JINX-0164 بارها از تاکتیک‌های مهندسی اجتماعی شامل فرصت‌های استخدام جعلی و مشکلات فنی ساختگی که قربانیان را ملزم به نصب اصلاحات نرم‌افزاری جعلی می‌کند، استفاده کرده است. این روش ثابت، تأکید قوی این گروه بر دستکاری انسانی به عنوان یک عامل اصلی نفوذ را برجسته می‌کند.

پیوندهای احتمالی با عملیات سایبری کره شمالی

چندین ویژگی این کمپین شبیه فعالیت‌هایی است که قبلاً با گروه‌های تهدید سایبری کره شمالی مانند BlueNoroff، Contagious Interview و UNC1069 مرتبط بوده‌اند. محققان شباهت‌هایی را در الگوهای هدف‌گیری، دامنه‌های جعلی و استفاده از سرویس‌های VPN مانند Astrill VPN مشاهده کردند.

علیرغم این همپوشانی‌ها، محققان هیچ ارتباط زیرساختی تایید شده‌ای را که JINX-0164 را مستقیماً به عملیات تحت حمایت دولت کره شمالی مرتبط کند، شناسایی نکرده‌اند. شواهد فعلی به جای انتساب قطعی، شباهت‌های عملیاتی را نشان می‌دهد.

پرطرفدار

کلاهبرداری ایمیلی ارتقاء سرویس صندوق پستی

فیشینگ, هرزنامه
ایمیل‌های غیرمنتظره‌ای که نیاز به اقدام فوری دارند، باید همیشه با احتیاط برخورد شوند. مجرمان سایبری مرتباً کمپین‌های فیشینگ را به عنوان هشدارهای امنیتی معمول یا اعلان‌های سرویس پنهان می‌کنند تا اطلاعات حساس را بدزدند. ایمیل‌های موسوم به «ارتقاء سرویس صندوق پستی» بخشی از چنین کلاهبرداری‌هایی هستند و به هیچ ارائه‌دهنده ایمیل، شرکت، سازمان یا نهاد رسمی معتبری متصل نیستند. اعلان جعلی ارتقاء صندوق...

پربیننده ترین

بارگذاری...