Зловреден софтуер NimDoor
Специалисти по киберсигурност разкриха ново и скрито семейство зловреден софтуер за macOS, наречено NimDoor, което представлява сериозна заплаха поради своите усъвършенствани техники за постоянство, скрити механизми за кражба на данни и сложни възможности за избягване. Тази злонамерена кампания се приписва на свързани със Северна Корея хакери, насочени към секторите Web3 и криптовалутите.
Съдържание
Севернокорейските хакери се насочват към Nim и macOS
Заподозрени в връзки със Северна Корея злонамерени лица, сега използват езика за програмиране Nim в своя арсенал от злонамерен софтуер. Това бележи непрекъсната еволюция в техния инструментариум, като предишни кампании са използвали езици като Go и Rust. Новото използване на Nim показва намерение за иновации, особено при създаването на междуплатформени заплахи, които са трудни за откриване и анализ.
В тази кампания нападателите са насочени специално към организации, фокусирани върху Web3 и криптовалути, което предполага финансово мотивирана операция с интерес към нарушаване или проникване в инфраструктурата за цифрови финанси.
Изключително необичайни техники за macOS
Това, което прави NimDoor особено обезпокоителен, е нетрадиционният му подход към заразяването на macOS. Най-вече той използва:
- Инжектиране на процеси, рядка техника за зловреден софтуер в macOS, позволяваща на заплахата да отвлича и манипулира легитимни процеси.
- WSS (WebSocket Secure) комуникационни канали за криптирани C2 взаимодействия.
- Нов метод за персистентност, който използва обработчици на сигнали SIGINT и SIGTERM, позволявайки на зловредния софтуер да се преинсталира при прекратяване или рестартиране на системата.
Тези характеристики му позволяват да поддържа нисък профил и да остане устойчив на често срещани потребителски или системни смущения.
Верига от атаки, подхранвана от социално инженерство
Атаката започва със стратегия за социално инженерство:
- Жертвите се свързват чрез платформи като Telegram и се примамват да насрочат среща в Zoom, използвайки Calendly.
- Те получават фалшив имейл със скрипт за актуализиране на Zoom SDK, уж за да се осигури съвместимост със софтуера за видеоконферентна връзка.
Това води до изпълнението на зловреден AppleScript, който изтегля скрипт от втори етап от отдалечен сървър, като същевременно пренасочва потребителя към легитимна връзка в Zoom. Скриптът от втори етап извлича ZIP архиви, съдържащи:
- Двоични файлове за установяване на постоянство
- Bash скриптове за кражба на системни данни
Ролята на InjectWithDyldArm64
В основата на процеса на заразяване е C++ зареждащ програмен пакет, известен като InjectWithDyldArm64 или просто InjectWithDyld. Този компонент е от решаващо значение за ефективното и скрито внедряване на зловредния софтуер. Той започва с декриптиране на два вградени двоични файла, единият с име „Target“, а другият „trojan1_arm64“. След декриптирането, зареждащият програмен пакет стартира процеса Target в спряно състояние. След като процесът е на пауза, зареждащият програмен пакет инжектира двоичния файл trojan1_arm64 в него и след това възобновява изпълнението му. Този метод позволява злонамерените полезни товари да бъдат доставяни и активирани по изключително дискретен начин, заобикаляйки стандартните системни защити и минимизирайки шанса за откриване.
Кражба на идентификационни данни и системно наблюдение
След като се активира, зловредният софтуер установява връзка с отдалечен команден и контролен (C2) сървър, което му позволява да извършва няколко злонамерени операции. Те включват събиране на подробна системна информация, изпълнение на произволни команди, издадени дистанционно, навигиране през различни директории и предаване на резултатите от тези действия обратно на нападателя.
Заплахата ескалира с участието на компонента trojan1_arm64, който засилва атаката, като извлича още два полезни натоварвания от инфраструктурата на C2. Тези полезни натоварвания са създадени специално за събиране на чувствителна информация. Основните им цели са идентификационни данни за вход, съхранявани в широко използвани уеб браузъри - Arc, Brave, Chrome, Edge и Firefox, както и потребителски данни от приложението за съобщения Telegram.
Механизми за устойчивост
Освен основните си компоненти, зловредният софтуер използва и изпълними файлове, базирани на Nim, които активират модул, известен като CoreKitAgent. Този модул играе ключова роля за осигуряване на устойчивостта на зловредния софтуер, като наблюдава за всякакви опити за прекратяване на неговата работа. За да поддържа присъствието си, той инсталира персонализирани обработчици на сигнали за SIGINT и SIGTERM, което му позволява автоматично да се рестартира, ако потребител или инструмент за сигурност се опита да го изключи. Този вграден механизъм значително засилва устойчивостта на зловредния софтуер.
Атакуващите използват широко AppleScript, като го използват не само по време на началната фаза на заразяване, но и по време на цялата работа на зловредния софтуер за текущо наблюдение и контрол. Чрез тази възможност за скриптиране, зловредният софтуер изпраща периодични маяци на всеки 30 секунди до твърдо кодирани C2 сървъри, извлича подробности за текущо изпълняваните процеси и изпълнява нови команди, издадени от отдалечения злонамерен персонаж.
Защо Nim прави зловредния софтуер по-опасен
Използването на езика за програмиране Nim дава на атакуващите забележителни предимства. Способността на Nim да изпълнява функции по време на компилация им позволява да:
- Вграждане на сложна логика, която е трудно да се открие
- Обфускиране на контролния поток в двоичните файлове
- Смесват кода за разработчици и кода по време на изпълнение, което значително затруднява анализа
Това води до компактни, високофункционални двоични файлове с намалена видимост за традиционните системи за откриване на зловреден софтуер.
NimDoor е сурово напомняне, че macOS вече не е имунизиран срещу напреднали постоянни заплахи. Тъй като севернокорейските актьори сега атакуват тази платформа, използвайки развиващи се техники и по-малко известни езици за програмиране, информираността и бдителността са по-важни от всякога.
