حملة Mach-O Man من لازاروس: استهداف تنفيذيي البنوك عبر macOS

كشف باحثون في شركة Certik عن حملة جديدة لمجموعة Lazarus الكورية الشمالية تحمل اسم "Mach-O Man" تستهدف بشكل مباشر التنفيذيين في شركات الفنتك والعملات الرقمية والمؤسسات المالية، عبر استغلال نظام macOS الذي طالما اعتُبر أكثر أماناً من بدائله. التحول الواضح نحو استهداف الإدارة العليا يحمل دلالات بالغة الخطورة لبنوك SAMA التي تعتمد بنية تحتية مختلطة وتمنح صلاحيات مرتفعة لتنفيذييها.

تشريح حملة Mach-O Man وأسلوب الاستدراج

تبدأ سلسلة الهجوم برسالة مفاجئة على تطبيق Telegram تتضمن دعوة عاجلة لاجتماع فيديو حول صفقة أو شراكة. عند الضغط على الرابط، يُوجَّه الضحية إلى صفحة تنتحل صفة منصة اجتماعات معروفة وتدّعي وجود "خلل في إعدادات الميكروفون" يستلزم نسخ أمر معين ولصقه في Terminal.

الأمر المنفَّذ يقوم بتنزيل حمولة Mach-O خبيثة موقَّعة بشهادة مطور Apple مسروقة، تتجاوز Gatekeeper وتثبّت بابًا خلفيًا يتواصل مع خوادم C2 مستضافة على بنى تحتية تخص شركات شرعية مخترقة. الحمولة قادرة على سرقة بيانات اعتماد iCloud وKeychain ومفاتيح المحافظ الرقمية وملفات SSH.

لماذا macOS؟ تحليل القرار التكتيكي

اختيار Lazarus لمنصة macOS ليس عشوائياً. فالتنفيذيون في القطاع المالي يفضلون أجهزة Apple، ومعظم منتجات EDR التقليدية في القطاع المصرفي السعودي مُعدّة لتغطية Windows وLinux أولاً، مع تغطية أضعف لـ macOS. كما أن قيود MDM في Jamf أو Intune for Mac غالبًا ما تكون أقل صرامة من نظيراتها في Windows.

وفقاً لبيانات TRM Labs، استحوذت كوريا الشمالية على 76% من إجمالي العملات الرقمية المسروقة في 2026، بقيمة تتجاوز 577 مليون دولار خلال الأشهر الأربعة الأولى فقط، مع تجاوز إجمالي السرقات منذ 2017 حاجز 6 مليارات دولار، ما يجعل المؤسسات المالية في الشرق الأوسط هدفاً منطقياً للتوسع المقبل للعصابة.

التأثير على المؤسسات المالية السعودية

تنص الضابطة 3.3.5 من إطار SAMA CSCC على ضرورة تطبيق ضوابط أمن نقاط النهاية على جميع الأجهزة بصرف النظر عن نظام التشغيل، وهو ما لا تلتزم به كثير من البنوك السعودية فعلياً عند التعامل مع أجهزة Mac المخصصة لأعضاء مجلس الإدارة والإدارة التنفيذية. كما تشترط لائحة NCA ECC في الضابطة 2-5 رصد القنوات غير الرسمية كتطبيقات المراسلة، وهي القناة الأساسية التي تستغلها حملة Mach-O Man.

بالنظر إلى أن التنفيذيين في البنوك السعودية يتعاملون مع بيانات تخضع لـ PDPL ومعلومات مالية محمية بـ PCI-DSS، فإن اختراق جهاز واحد لرئيس تنفيذي أو مدير مالي قد يفتح الباب أمام تحويلات SWIFT احتيالية أو تسريب بيانات عملاء مصنفين Top-tier.

التوصيات والخطوات العملية

1. تطبيق حل EDR متخصص لـ macOS يدعم اكتشاف سلوك Mach-O الخبيث، مثل CrowdStrike Falcon for Mac أو SentinelOne، مع تفعيل قواعد كشف عمليات curl وosascript المشبوهة.
2. فرض سياسة Application Whitelisting عبر Jamf Protect تمنع تشغيل أي ملف Mach-O غير موقَّع من قائمة معتمدة، وتعطيل صلاحية المستخدم النهائي في تشغيل أوامر Terminal من خلال Removable Privileges.
3. منع استخدام Telegram وWhatsApp وغيرها من تطبيقات المراسلة على أجهزة العمل التنفيذية عبر MDM، وتوفير قنوات اتصال بديلة معتمدة مثل Signal Enterprise أو Microsoft Teams الموحد.
4. إجراء تدريب موجَّه للقيادات العليا (Executive Phishing Simulation) كل ربع سنة، مع التركيز على سيناريوهات الهندسة الاجتماعية عبر Telegram ودعوات الاجتماعات الزائفة.
5. تفعيل Hardware-bound MFA باستخدام مفاتيح YubiKey لجميع الحسابات الإدارية، خصوصاً Apple ID وiCloud Keychain، وفرض FileVault مع مفتاح استرداد مؤسسي.
6. إضافة قواعد كشف في SIEM لرصد اتصالات صادرة من نطاقات IP المرتبطة بـ Lazarus عبر تغذيات THREATINT من مزودين مثل Recorded Future وMandiant.

الخلاصة

حملة Mach-O Man تمثل تحولاً نوعياً في تكتيكات Lazarus نحو ما يُعرف بـ "Whaling on Mac"، وتكشف فجوة حقيقية في وضع الأمن السيبراني لمعظم المؤسسات المالية السعودية فيما يخص حماية القيادات العليا وأجهزتها. بنوك SAMA التي لا تملك خطة تغطية متكاملة لـ macOS ضمن منظومة EDR وMDM تواجه خطراً تنظيمياً ومالياً متزايداً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة كاملة لسياسات حماية أجهزة الإدارة التنفيذية على macOS.