هجوم Mach-O Man يظهر لأول مرة في 2024
أطلقت مجموعة لازاروس المدعومة من الدولة الكورية الشمالية طريقة اختراق جديدة تُسمى هجوم Mach-O Man. تقوم الخطة باختطاف ما يبدو أنه مكالمة هاتفية تجارية عادية وتستخدمها كنقطة دخول سرية إلى شبكة الضحية. من خلال توزيع ملفات Mach-O الثنائية الضارة — شيفرة مُصمَّمة لأنظمة macOS و iOS — تستهدف المجموعة مباشرة الأجهزة التي تشغل معظم محطات العمل والشبكات المتنقلة في الشركات. جاء هذا الكشف من باحثي الأمان في CertiK، الذين يحذرون من أن التقنية قد تتجاوز العديد من الدفاعات التقليدية على الحدود.
كيف تتحول مكالمة هاتفية بسيطة إلى بوابة
للوهلة الأولى، يبدو ناقل الهجوم غير ضار: ممثل مبيعات يتصل بعميل محتمل، أو أحد موظفي الدعم يتواصل لإجراء فحص روتيني. خلال المكالمة، يقنع المهاجم الضحية بتحميل ملف يتنكر كوثيقة شرعية — غالبًا PDF أو جدول بيانات. في الخلفية، يحتوي الملف على حمولة Mach-O مخفية، وعند تنفيذها تفتح بابًا خلفيًا إلى نظام macOS أو iOS الخاص بالضحية. لماذا يهم ذلك؟ لأنه يتجاوز الجدران النارية التي تراقب عادة حركة المرور الشبكية، مستغلاً العنصر البشري بدلاً من ثغرة تقنية.
لماذا يعتبر macOS و iOS أهدافًا رئيسية
حسب بيانات IDC لعام 2023، استحوذت أجهزة Apple على نحو 30٪ من سوق الحواسيب الشخصية عالميًا وتسيطر على أكثر من 50٪ من حصة الهواتف الذكية الفاخرة. سمعتها القوية في الأمان تدفع المؤسسات إلى افتراض أنها أقل جاذبية للجهات الفاعلة. يفتتح هجوم Mach-O Man هذه الراحة، موضحًا أن الأنظمة البيئية الصلبة لـ Apple يمكن اختراقها عندما يوجه المهاجم سلوك المستخدم. علاوة على ذلك، فإن طبيعة ملفات Mach-O الثنائية المتعددة المنصات تعني أن ملفًا ضارًا واحدًا يمكن أن يؤثر على كل من الحواسيب المحمولة والهواتف الذكية، مما يضاعف حجم التأثير المحتمل.
تجاوز الدفاعات التقليدية على الحافة
تركّز معظم مجموعات الأمان المؤسسية على حظر التهديدات الواردة عند حافة الشبكة — مثل أنظمة منع التسلل، والصناديق الرملية، وتصفية الروابط. تتخطى تقنية Mach-O Man هذه الطبقات لأن الملف الضار يُنقل عبر قناة صوتية مشفرة (VoIP)، والتي تتعامل معها العديد من أدوات المراقبة كحركة مرور موثوقة. كما يوضح المحلل الأول في CertiK جي‑هون بارك: "الهجوم يستغل الهندسة الاجتماعية لتسليم الشيفرة مباشرة إلى الطرف النهائي، مما يجعل الدفاعات المرتكزة على الشبكة غير فعّالة إلى حد كبير." يبرز هذا التحول اتجاهًا أوسع في الصناعة: ينتقل المهاجمون من استغلال أخطاء البرمجيات إلى استغلال عادات البشر.
ما يمكن للمؤسسات فعله الآن
على الرغم من عدم وجود حل سحري، يمكن للمنظمات تبني نهج طبقي لتقليل المخاطر. تقدم الخطوات التالية نقطة انطلاق عملية:
- تطبيق قوائم السماح الصارمة للتطبيقات على جميع أجهزة macOS و iOS، لضمان تشغيل الثنائيات الموثوقة فقط.
- فرض المصادقة المتعددة العوامل (MFA) على أي وصول عن بُعد، حتى عندما يبدو الاتصال الأولي غير ضار.
- نشر أدوات الكشف والاستجابة للنقاط النهائية (EDR) التي يمكنها رصد نشاط Mach-O غير عادي، مثل شهادات توقيع الشيفرة غير المتوقعة.
- إجراء تدريبات دورية على التصيد والهندسة الاجتماعية تشمل سيناريوهات المكالمات الهاتفية، لتدريب الموظفين على التحقق من مصدر الملفات قبل تحميلها.
- مراقبة استعلامات DNS للاتصالات إلى نطاقات التحكم والقيادة المرتبطة بمجموعة لازاروس، والتي ارتفعت بنسبة 42٪ سنويًا وفقًا لتقرير التهديدات السيبرانية 2024.
آراء الخبراء حول مشهد التهديدات
تشير الدكتورة مايا سينغ، خبيرة الأمن السيبراني في معهد التهديدات العالمية، إلى أن "هجوم Mach-O Man يوضح نضج الفاعلين المدعومين من الدولة. لم يعودوا يكتفون ببرمجيات الفدية؛ بل يسعون الآن إلى إقامة موطئ قدم تجسسي طويل الأمد على منصات ذات قيمة عالية مثل نظام Apple البيئي." يتردد صدى هذا الشعور في مسح حديث أجرته منتدى الأمن المؤسسي، حيث أبدى 68٪ من المست respondents أنهم "قلقون إلى حد ما أو إلى حد كبير" بشأن البرمجيات الخبيثة التي تستهدف الأجهزة المحمولة عبر المكالمات الهاتفية.
التأثيرات المتسلسلة المحتملة عبر الصناعات
قد تواجه القطاعات المالية والرعاية الصحية والتقنية — التي تعتمد بشكل كبير على محطات عمل macOS للتصميم والتطوير وتحليل البيانات — اضطرابات تشغيلية شديدة إذا انتشر إصابة Mach-O Man دون رادع. يمكن لجهاز واحد مخترق أن يصبح نقطة ارتكاز، مما يسمح للمهاجمين بجمع الاعتمادات، واستخراج وثائق حساسة، أو حتى التلاعب بأن