تحذير أمني: هجوم جديد على macOS عبر Phoenix وShadeStager يهدد سرية البيانات
كشف فريق أبحاث الأمن في موسيل عن تهديدات سيبرانية قوية تمثلت كهيئة دودة Phoenix متعددة المنصات، إلى جانب برمجية ShadeStager الخبيثة التي تستهدف بشكل حصري سرقة بيانات مستخدمي حواسيب نظام macOS.
تهديد أمني لأنظمة ماك macOS
وتعد دودة Phoenix إحدى البرمجيات الخبيثة والمطورة باستخدام لغة البرمجة Go، حيث تعمل كدودة تمهيدية خفيفة تستقر داخل الأنظمة المصابة لتهيئتها لمرحلة لاحقة من الهجمات. وتعتمد على إنشاء اتصال كامل بخوادم القيادة والتحكم عن بعد (C2) بدلًا من تشغيل الحمولة الكاملة عليها بصورة مباشر.
وأضاف الباحث أن دودة فينيكس تعمل على إنشاء معرفات فريدة لكل نظام مصاب كما تقوم بإرسال المعلومات الرئيسية للنظام وفقًا للمهاجمين مع توفير إمكانية التحديث عن بعد وتشغيل حمولات إضافية.
وأشار فريق موسيل ببحثه إلى أن تصميم هذه الدودة قائم على أنها اعتبارًا عنصر ضمن حزمة أدوات أكبر لتمهيد الطريق لتنفيذ حمولات أكثر تطورًا في مراحل متقدمة أثناء الهجوم.
بينما أوضح البحث أن برنامج shadestager هو أداة اختراق في الأصل وتم تصميمه لاستخراج أدق البيانات والمعلومات الخاصة بالأنظمة التي يتم اختراقها بالأجهزة، ويستهدف هذا البرنامج بيئات المطورين والبنية التحتية السحابية مثل مفاتيح SSH والمضيفون المتعارف عليهم.
يمكن للبرنامج اختراق بيانات ملفات التكوين وبيانات المصادقة Git و Docker معتمدًا على السحابة من AWS وAzure و GCP بالكامل.
واجراء استطلاع شامل للجهاز المضيف هي إحدى مهام البرنامج فبإمكانه استخراج كافة المعلومات المستخدمة والصلاحيات بكل سهولة ومعرفة تفاصيل نظام التشغيل بالأنظمة المخترقة وصولًا لإعدادات الشبكة ومتغيرات البيئة المرتبطة بسحابة SSH وفقًا للبحث الصادر من موسيل.
يتم إدارة هذه العمليات بالكامل ونقلها عبر بروتوكول HTTPS مع إتاحة تنفيذ الأوامر وجمع البيانات وتنزيل ملفاتها بسهولة.
على الرغم من عدم وجود صلة مباشرة بين البرنامجين إلا أن كليهما يعتمد على نفس أسلوب الهجوم إذ يتولى أحدهما إنشاء نقطة وصول للانظمة بينما يختص البرنامج الثاني باستخراج بيانات الاعتماد ورموز الخدمات السحابية.
