Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό NimDoor

Κακόβουλο λογισμικό NimDoor

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Οι επαγγελματίες στον κυβερνοχώρο έχουν αποκαλύψει μια νέα και αθόρυβη οικογένεια κακόβουλου λογισμικού macOS με την ονομασία NimDoor, η οποία αποτελεί σοβαρή απειλή λόγω των προηγμένων τεχνικών persistence, των αθόρυβων μηχανισμών κλοπής δεδομένων και των εξελιγμένων δυνατοτήτων αποφυγής. Αυτή η κακόβουλη εκστρατεία αποδίδεται σε απειλητικούς παράγοντες που συνδέονται με τη Βόρεια Κορέα και στοχεύουν τους τομείς Web3 και κρυπτονομισμάτων.

Οι Βορειοκορεάτες χάκερ στρέφονται στο Nim και το macOS

Οι απειλητικοί παράγοντες που ύποπτα συνδέονται με τη Βόρεια Κορέα αξιοποιούν πλέον τη γλώσσα προγραμματισμού Nim στο οπλοστάσιό τους για κακόβουλο λογισμικό. Αυτό σηματοδοτεί μια συνεχή εξέλιξη στην εργαλειοθήκη τους, με προηγούμενες εκστρατείες να χρησιμοποιούν γλώσσες όπως Go και Rust. Η νέα χρήση του Nim δείχνει μια πρόθεση για καινοτομία, ειδικά στη δημιουργία απειλών σε διαπλατφόρμες που είναι δύσκολο να εντοπιστούν και να αναλυθούν.

Σε αυτήν την εκστρατεία, οι επιτιθέμενοι επιτίθενται συγκεκριμένα σε οργανισμούς με επίκεντρο το Web3 και τα κρυπτονομίσματα, υποδηλώνοντας μια επιχείρηση με οικονομικά κίνητρα που ενδιαφέρεται να διαταράξει ή να διεισδύσει στην ψηφιακή χρηματοοικονομική υποδομή.

Εξαιρετικά ασυνήθιστες τεχνικές macOS

Αυτό που κάνει το NimDoor ιδιαίτερα ανησυχητικό είναι η αντισυμβατική του προσέγγιση στη μόλυνση από macOS. Πιο συγκεκριμένα, χρησιμοποιεί:

  • Η έγχυση διεργασιών, μια σπάνια τεχνική για κακόβουλο λογισμικό macOS, επιτρέπει στην απειλή να καταλαμβάνει και να χειραγωγεί νόμιμες διεργασίες.
  • Κανάλια επικοινωνίας WSS (WebSocket Secure) για κρυπτογραφημένες αλληλεπιδράσεις C2.
  • Μια νέα μέθοδος persistence που αξιοποιεί τους χειριστές σημάτων SIGINT και SIGTERM, επιτρέποντας στο κακόβουλο λογισμικό να επανεγκατασταθεί μετά τον τερματισμό ή κατά την επανεκκίνηση του συστήματος.

Αυτά τα χαρακτηριστικά του επιτρέπουν να διατηρεί χαμηλό προφίλ και να παραμένει ανθεκτικό σε κοινές διακοπές που προκαλούνται από χρήστες ή συστήματα.

Αλυσίδα επιθέσεων που τροφοδοτείται από κοινωνική μηχανική

Η επίθεση ξεκινά με μια στρατηγική κοινωνικής μηχανικής:

  • Τα θύματα επικοινωνούν μέσω πλατφορμών όπως το Telegram και παρασύρονται να προγραμματίσουν μια συνάντηση Zoom χρησιμοποιώντας το Calendly.
  • Λαμβάνουν ένα ψεύτικο email με ένα σενάριο ενημέρωσης του Zoom SDK, υποτίθεται ότι για να διασφαλιστεί η συμβατότητα με το λογισμικό τηλεδιάσκεψης.

Αυτό οδηγεί στην εκτέλεση ενός κακόβουλου AppleScript, το οποίο κατεβάζει ένα σενάριο δεύτερου σταδίου από έναν απομακρυσμένο διακομιστή, ενώ παράλληλα ανακατευθύνει τον χρήστη σε έναν νόμιμο σύνδεσμο Zoom. Το σενάριο δεύτερου σταδίου εξάγει αρχεία ZIP που περιέχουν:

  • Δυαδικά αρχεία για την καθιέρωση της επιμονής
  • Bash scripts για κλοπή δεδομένων συστήματος

Ο ρόλος του InjectWithDyldArm64

Στην καρδιά της διαδικασίας μόλυνσης βρίσκεται ένας φορτωτής C++ γνωστός ως InjectWithDyldArm64 ή απλά InjectWithDyld. Αυτό το στοιχείο είναι κρίσιμο για την αποτελεσματική και κρυφή ανάπτυξη του κακόβουλου λογισμικού. Ξεκινά αποκρυπτογραφώντας δύο ενσωματωμένα δυαδικά αρχεία, το ένα με το όνομα «Target» και το άλλο «trojan1_arm64». Μετά την αποκρυπτογράφηση, προχωρά στην εκκίνηση της διεργασίας Target σε κατάσταση αναστολής. Με τη διαδικασία σε παύση, ο φορτωτής εισάγει το δυαδικό αρχείο trojan1_arm64 σε αυτήν και στη συνέχεια συνεχίζει την εκτέλεση. Αυτή η μέθοδος επιτρέπει την παράδοση και την ενεργοποίηση των κακόβουλων φορτίων με εξαιρετικά αθόρυβο τρόπο, παρακάμπτοντας τις τυπικές άμυνες του συστήματος και ελαχιστοποιώντας την πιθανότητα ανίχνευσης.

Κλοπή Διαπιστευτηρίων και Επιτήρηση Συστήματος

Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό δημιουργεί μια σύνδεση με έναν απομακρυσμένο διακομιστή Command-and-Control (C2), επιτρέποντάς του να εκτελέσει διάφορες κακόβουλες λειτουργίες. Αυτές περιλαμβάνουν τη συλλογή λεπτομερών πληροφοριών συστήματος, την εκτέλεση αυθαίρετων εντολών που εκδίδονται εξ αποστάσεως, την πλοήγηση σε διαφορετικούς καταλόγους και τη μετάδοση των αποτελεσμάτων αυτών των ενεργειών πίσω στον εισβολέα.

Η απειλή κλιμακώνεται με την εμπλοκή του στοιχείου trojan1_arm64, το οποίο ενισχύει την επίθεση ανακτώντας δύο ακόμη ωφέλιμα φορτία από την υποδομή C2. Αυτά τα ωφέλιμα φορτία έχουν σχεδιαστεί ειδικά για τη συλλογή ευαίσθητων πληροφοριών. Οι κύριοι στόχοι τους είναι τα διαπιστευτήρια σύνδεσης που είναι αποθηκευμένα σε ευρέως χρησιμοποιούμενα προγράμματα περιήγησης ιστού - Arc, Brave, Chrome, Edge και Firefox, καθώς και δεδομένα χρήστη από την εφαρμογή ανταλλαγής μηνυμάτων Telegram.

Μηχανισμοί Επιμονής

Πέρα από τα κύρια στοιχεία του, το κακόβουλο λογισμικό αναπτύσσει επίσης εκτελέσιμα αρχεία που βασίζονται σε Nim και ενεργοποιούν μια ενότητα γνωστή ως CoreKitAgent. Αυτή η ενότητα παίζει κρίσιμο ρόλο στη διασφάλιση της ανθεκτικότητας του κακόβουλου λογισμικού, παρακολουθώντας τυχόν προσπάθειες τερματισμού της λειτουργίας του. Για να διατηρήσει την παρουσία του, εγκαθιστά προσαρμοσμένους χειριστές σημάτων για SIGINT και SIGTERM, επιτρέποντάς του να επανεκκινείται αυτόματα εάν ένας χρήστης ή ένα εργαλείο ασφαλείας προσπαθήσει να το τερματίσει. Αυτός ο ενσωματωμένος μηχανισμός ενισχύει σημαντικά την επιμονή του κακόβουλου λογισμικού.

Οι επιτιθέμενοι κάνουν επίσης εκτεταμένη χρήση του AppleScript, αξιοποιώντας το όχι μόνο κατά την αρχική φάση της μόλυνσης αλλά και καθ' όλη τη διάρκεια της λειτουργίας του κακόβουλου λογισμικού για συνεχή παρακολούθηση και έλεγχο. Μέσω αυτής της δυνατότητας δημιουργίας σεναρίων, το κακόβουλο λογισμικό στέλνει περιοδικά beacons κάθε 30 δευτερόλεπτα σε σκληρά κωδικοποιημένους διακομιστές C2, αποσπά λεπτομέρειες σχετικά με τις διεργασίες που εκτελούνται αυτήν τη στιγμή και εκτελεί νέες εντολές που εκδίδονται από τον απομακρυσμένο απειλητικό παράγοντα.

Γιατί το Nim κάνει το κακόβουλο λογισμικό πιο επικίνδυνο

Η χρήση της γλώσσας προγραμματισμού Nim προσφέρει στους επιτιθέμενους αξιοσημείωτα πλεονεκτήματα. Η ικανότητα του Nim να εκτελεί συναρτήσεις κατά τη μεταγλώττιση τους επιτρέπει να:

  • Ενσωματώστε σύνθετη λογική που είναι δύσκολο να εντοπιστεί
  • Αποκρύπτει τη ροή ελέγχου εντός δυαδικών αρχείων
  • Αναμειγνύετε τον κώδικα προγραμματιστή και τον κώδικα εκτέλεσης, καθιστώντας την ανάλυση σημαντικά πιο δύσκολη

Αυτό οδηγεί σε συμπαγή, υψηλής λειτουργικότητας δυαδικά αρχεία με μειωμένη ορατότητα στις παραδοσιακές μηχανές ανίχνευσης κακόβουλου λογισμικού.

Το NimDoor αποτελεί μια έντονη υπενθύμιση ότι το macOS δεν είναι πλέον άτρωτο σε προηγμένες, επίμονες απειλές. Καθώς οι βορειοκορεάτες παράγοντες στοχεύουν πλέον αυτήν την πλατφόρμα χρησιμοποιώντας εξελισσόμενες τεχνικές και λιγότερο γνωστές γλώσσες προγραμματισμού, η ενημέρωση και η επαγρύπνηση είναι πιο κρίσιμη από ποτέ.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,519
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...