NimDoor pahavara
Küberturvalisuse spetsialistid on paljastanud uue ja varjatud macOS-i pahavara perekonna nimega NimDoor, mis kujutab endast tõsist ohtu oma täiustatud püsivustehnikate, varjatud andmete varguse mehhanismide ja keerukate vargusvõimaluste tõttu. Seda pahatahtlikku kampaaniat omistatakse Põhja-Koreaga seotud ohuüksustele, mis sihivad Web3 ja krüptovaluuta sektoreid.
Sisukord
Põhja-Korea häkkerid pöörduvad Nimi ja macOS-i poole
Põhja-Koreaga seotud oletatavad ohutegijad kasutavad nüüd oma pahavara arsenalis Nimi programmeerimiskeelt. See tähistab nende tööriistakasti pidevat arengut, kusjuures varasemad kampaaniad on kasutanud keeli nagu Go ja Rust. Nimi uus kasutusala näitab kavatsust uuendusteks, eriti platvormideüleste ohtude loomisel, mida on raske tuvastada ja analüüsida.
Selles kampaanias ründajad ründavad spetsiaalselt Web3 ja krüptovaluutadele keskendunud organisatsioone, mis viitab rahaliselt motiveeritud operatsioonile, mille eesmärk on häirida digitaalse finantsinfrastruktuuri või sellesse tungida.
Väga ebatavalised macOS-i tehnikad
NimDoori eriti murettekitavaks teeb selle ebatavaline lähenemine macOS-i nakkustele. Eelkõige kasutab see järgmist:
- Protsessi süstimine, macOS-i pahavara puhul haruldane tehnika, mis võimaldab ohul kaaperdada ja manipuleerida õigustatud protsesse.
- WSS (WebSocket Secure) sidekanalid krüpteeritud C2 interaktsioonide jaoks.
- Uudne püsivusmeetod, mis kasutab SIGINT ja SIGTERM signaalikäitlejaid, võimaldades pahavaral end pärast süsteemi sulgemist või taaskäivitamist uuesti installida.
Need omadused võimaldavad tal hoida madalat profiili ja jääda vastupidavaks tavaliste kasutajate või süsteemi algatatud häirete suhtes.
Sotsiaalse manipuleerimise abil õhutatud rünnakuahel
Rünnak algab sotsiaalse manipuleerimise strateegiaga:
- Ohvritega võetakse ühendust selliste platvormide kaudu nagu Telegram ja meelitatakse neid Calendly abil Zoomi kohtumist kokku leppima.
- Nad saavad võltsitud e-kirja Zoom SDK värskendusskriptiga, mis väidetavalt tagab videokonverentsi tarkvara ühilduvuse.
See viib pahatahtliku AppleScripti käivitamiseni, mis laadib kaugserverist alla teise etapi skripti, suunates kasutaja samal ajal legitiimsele Zoomi lingile. Teise etapi skript ekstraheerib ZIP-arhiive, mis sisaldavad:
- Binaarfailid püsivuse loomiseks
- Bash-skriptid süsteemiandmete varastamiseks
InjectWithDyldArm64 roll
Nakatumisprotsessi keskmes on C++ laadur, mida tuntakse kui InjectWithDyldArm64 või lihtsalt InjectWithDyld. See komponent on pahavara tõhusaks ja salajaseks juurutamiseks ülioluline. See alustab kahe manustatud binaarfaili dekrüpteerimisega, millest üks kannab nime „Target“ ja teine „trojan1_arm64“. Pärast dekrüpteerimist käivitab see peatatud olekus Target protsessi. Kui protsess on peatatud, süstib laadur sellesse trojan1_arm64 binaarfaili ja jätkab seejärel täitmist. See meetod võimaldab pahatahtlikke koormusi edastada ja aktiveerida väga salaja, möödudes tavapärastest süsteemikaitsetest ja minimeerides avastamise võimalust.
Volituste vargus ja süsteemi jälgimine
Kui pahavara on aktiivne, loob see ühenduse kaugjuhtimispuldi (C2) serveriga, mis võimaldab tal teostada mitmeid pahatahtlikke toiminguid. Nende hulka kuuluvad üksikasjaliku süsteemiteabe kogumine, suvaliste kaugkäskluste täitmine, erinevate kataloogide vahel navigeerimine ja nende toimingute tulemuste edastamine ründajale.
Oht eskaleerub komponendi trojan1_arm64 kaasamisega, mis võimendab rünnakut, hankides C2 infrastruktuurist veel kaks kasulikku koormust. Need kasulikud koormused on loodud spetsiaalselt tundliku teabe kogumiseks. Nende peamised sihtmärgid on laialdaselt kasutatavates veebibrauserites – Arc, Brave, Chrome, Edge ja Firefox – talletatud sisselogimisandmed, samuti Telegrami sõnumsiderakenduse kasutajaandmed.
Püsivuse mehhanismid
Lisaks põhikomponentidele kasutab pahavara ka Nimil põhinevaid käivitatavaid faile, mis aktiveerivad mooduli nimega CoreKitAgent. See moodul mängib olulist rolli pahavara vastupidavuse tagamisel, jälgides kõiki katseid selle toimimise lõpetamiseks. Oma kohaloleku säilitamiseks installib see kohandatud signaalikäitlejad SIGINT ja SIGTERM jaoks, mis võimaldavad tal automaatselt taaskäivituda, kui kasutaja või turvatööriist proovib seda sulgeda. See sisseehitatud mehhanism tugevdab oluliselt pahavara püsivust.
Ründajad kasutavad ulatuslikult ka AppleScripti, rakendades seda mitte ainult esialgse nakatumise faasis, vaid ka kogu pahavara toimimise vältel pidevaks jälgimiseks ja kontrollimiseks. Selle skriptimisvõimaluse abil saadab pahavara iga 30 sekundi järel perioodilisi märguandeid kõvakodeeritud C2-serveritele, filtreerib välja üksikasju hetkel töötavate protsesside kohta ja täidab kaugohtu tekitaja antud uusi käske.
Miks Nim muudab pahavara ohtlikumaks
Nimi programmeerimiskeele kasutamine annab ründajatele märkimisväärseid eeliseid. Nimi võime täita funktsioone kompileerimise ajal võimaldab neil:
- Manusta keerukat loogikat, mida on raske tuvastada
- Hägustab juhtimisvoogu binaarfailides
- Arendaja ja käitusaja koodi segamine, mis muudab analüüsi oluliselt raskemaks
See viib kompaktsete ja hästi toimivate binaarfailideni, mis on traditsioonilistele pahavara tuvastusmootoritele vähem nähtavad.
NimDoor on terav meeldetuletus, et macOS ei ole enam immuunne püsivate ja keerukate ohtude suhtes. Kuna Põhja-Korea tegutsejad sihivad seda platvormi nüüd arenevate tehnikate ja vähemtuntud programmeerimiskeelte abil, on informeeritus ja valvsus olulisem kui kunagi varem.
