NimDoor Malware

साइबर सुरक्षा पेशेवरों ने निमडूर नामक एक नए और गुप्त मैकओएस मैलवेयर परिवार का पता लगाया है, जो अपनी उन्नत दृढ़ता तकनीकों, गुप्त डेटा चोरी तंत्र और परिष्कृत चोरी क्षमताओं के कारण एक गंभीर खतरा पैदा करता है। इस दुर्भावनापूर्ण अभियान का श्रेय वेब3 और क्रिप्टोकरेंसी क्षेत्रों को लक्षित करने वाले उत्तर कोरियाई-संरेखित खतरे वाले अभिनेताओं को दिया जाता है।

उत्तर कोरियाई हैकर्स ने निम और मैकओएस पर ध्यान केंद्रित किया

उत्तर कोरिया से जुड़े संदिग्ध खतरे वाले अभिनेता अब अपने मैलवेयर शस्त्रागार में निम प्रोग्रामिंग भाषा का लाभ उठा रहे हैं। यह उनके टूलकिट में चल रहे विकास को दर्शाता है, पिछले अभियानों में गो और रस्ट जैसी भाषाओं का उपयोग किया गया था। निम का नया उपयोग नवाचार करने के इरादे को दर्शाता है, विशेष रूप से क्रॉस-प्लेटफ़ॉर्म खतरों को तैयार करने में जिन्हें पहचानना और विश्लेषण करना मुश्किल है।

इस अभियान में, हमलावर विशेष रूप से वेब3 और क्रिप्टोकरेंसी-केंद्रित संगठनों को निशाना बनाते हैं, जो डिजिटल वित्तीय बुनियादी ढांचे को बाधित करने या उसमें घुसपैठ करने में रुचि रखने वाले वित्तीय रूप से प्रेरित ऑपरेशन का संकेत देते हैं।

अत्यंत असामान्य macOS तकनीकें

निमडोर को खास तौर पर चिंताजनक बनाने वाली बात यह है कि यह macOS संक्रमण के लिए अपरंपरागत दृष्टिकोण अपनाता है। सबसे खास बात यह है कि यह निम्न का उपयोग करता है:

• प्रोसेस इंजेक्शन, macOS मैलवेयर के लिए एक दुर्लभ तकनीक है, जो वैध प्रक्रियाओं को हाईजैक करने और उनमें हेरफेर करने का खतरा पैदा करती है।
• एन्क्रिप्टेड C2 इंटरैक्शन के लिए WSS (वेबसॉकेट सिक्योर) संचार चैनल।
• एक नवीन दृढ़ता विधि जो SIGINT और SIGTERM सिग्नल हैंडलर्स का लाभ उठाती है, जिससे मैलवेयर को समाप्त होने पर या सिस्टम रिबूट होने पर स्वयं को पुनः स्थापित करने की अनुमति मिलती है।

ये विशेषताएं इसे कम प्रोफ़ाइल बनाए रखने और सामान्य उपयोगकर्ता या सिस्टम द्वारा शुरू किए गए व्यवधानों के प्रति लचीला बने रहने में सक्षम बनाती हैं।

सामाजिक इंजीनियरिंग से प्रेरित हमला श्रृंखला

यह हमला एक सामाजिक इंजीनियरिंग रणनीति से शुरू होता है:

• पीड़ितों से टेलीग्राम जैसे प्लेटफॉर्म के माध्यम से संपर्क किया जाता है और उन्हें कैलेंड्ली का उपयोग करके ज़ूम मीटिंग शेड्यूल करने का लालच दिया जाता है।
• उन्हें ज़ूम एसडीके अपडेट स्क्रिप्ट के साथ एक नकली ईमेल प्राप्त होता है, जो कथित तौर पर वीडियोकांफ्रेंसिंग सॉफ्टवेयर के साथ संगतता सुनिश्चित करने के लिए है।

इससे दुर्भावनापूर्ण AppleScript का निष्पादन होता है, जो उपयोगकर्ता को वैध ज़ूम लिंक पर रीडायरेक्ट करते हुए रिमोट सर्वर से दूसरे चरण की स्क्रिप्ट डाउनलोड करता है। दूसरे चरण की स्क्रिप्ट ZIP अभिलेखागार निकालती है जिसमें निम्न शामिल हैं:

• दृढ़ता स्थापित करने के लिए बाइनरी
• सिस्टम डेटा चुराने के लिए बैश स्क्रिप्ट

InjectWithDyldArm64 की भूमिका

संक्रमण प्रक्रिया के केंद्र में एक C++ लोडर है जिसे InjectWithDyldArm64 या बस InjectWithDyld के रूप में जाना जाता है। यह घटक मैलवेयर को प्रभावी ढंग से और गुप्त रूप से तैनात करने के लिए महत्वपूर्ण है। यह दो एम्बेडेड बाइनरी को डिक्रिप्ट करके शुरू होता है, एक का नाम 'टारगेट' और दूसरा 'ट्रोजन1_आर्म64' है। डिक्रिप्शन के बाद, यह टारगेट प्रक्रिया को निलंबित अवस्था में लॉन्च करने के लिए आगे बढ़ता है। प्रक्रिया को रोकने के साथ, लोडर इसमें ट्रोजन1_आर्म64 बाइनरी को इंजेक्ट करता है और फिर निष्पादन को फिर से शुरू करता है। यह विधि दुर्भावनापूर्ण पेलोड को अत्यधिक गुप्त तरीके से वितरित और सक्रिय करने की अनुमति देती है, मानक सिस्टम सुरक्षा को दरकिनार करती है और पता लगाने की संभावना को कम करती है।

क्रेडेंशियल चोरी और सिस्टम निगरानी

एक बार सक्रिय होने के बाद, मैलवेयर एक दूरस्थ कमांड-एंड-कंट्रोल (C2) सर्वर के साथ एक कनेक्शन स्थापित करता है, जिससे यह कई दुर्भावनापूर्ण ऑपरेशन करने में सक्षम होता है। इनमें विस्तृत सिस्टम जानकारी एकत्र करना, दूर से जारी किए गए मनमाने आदेशों को निष्पादित करना, विभिन्न निर्देशिकाओं के माध्यम से नेविगेट करना और इन क्रियाओं के परिणामों को हमलावर को वापस भेजना शामिल है।

ट्रोजन1_आर्म64 घटक की भागीदारी से खतरा बढ़ता है, जो C2 इंफ्रास्ट्रक्चर से दो और पेलोड प्राप्त करके हमले को बढ़ाता है। ये पेलोड विशेष रूप से संवेदनशील जानकारी प्राप्त करने के लिए तैयार किए गए हैं। उनके प्राथमिक लक्ष्य व्यापक रूप से उपयोग किए जाने वाले वेब ब्राउज़र - आर्क, ब्रेव, क्रोम, एज और फ़ायरफ़ॉक्स में संग्रहीत लॉगिन क्रेडेंशियल हैं, साथ ही टेलीग्राम मैसेजिंग एप्लिकेशन से उपयोगकर्ता डेटा भी हैं।

दृढ़ता तंत्र

अपने प्राथमिक घटकों के अलावा, मैलवेयर निम-आधारित निष्पादनयोग्य भी तैनात करता है जो CoreKitAgent नामक मॉड्यूल को सक्रिय करता है। यह मॉड्यूल मैलवेयर के संचालन को समाप्त करने के किसी भी प्रयास की निगरानी करके मैलवेयर की लचीलापन सुनिश्चित करने में महत्वपूर्ण भूमिका निभाता है। अपनी उपस्थिति बनाए रखने के लिए, यह SIGINT और SIGTERM के लिए कस्टम सिग्नल हैंडलर स्थापित करता है, जिससे यह स्वचालित रूप से फिर से लॉन्च हो जाता है यदि कोई उपयोगकर्ता या सुरक्षा उपकरण इसे बंद करने का प्रयास करता है। यह अंतर्निहित तंत्र मैलवेयर की दृढ़ता को काफी मजबूत करता है।

हमलावर AppleScript का भी व्यापक उपयोग करते हैं, न केवल प्रारंभिक संक्रमण चरण के दौरान बल्कि मैलवेयर के संचालन के दौरान भी निरंतर निगरानी और नियंत्रण के लिए इसका लाभ उठाते हैं। इस स्क्रिप्टिंग क्षमता के माध्यम से, मैलवेयर हर 30 सेकंड में हार्ड-कोडेड C2 सर्वर पर आवधिक बीकन भेजता है, वर्तमान में चल रही प्रक्रियाओं के बारे में विवरण निकालता है, और दूरस्थ खतरा अभिनेता द्वारा जारी किए गए नए आदेशों को पूरा करता है।

निम मैलवेयर को और अधिक खतरनाक क्यों बनाता है?

निम प्रोग्रामिंग भाषा का उपयोग हमलावरों को उल्लेखनीय लाभ देता है। संकलन समय पर फ़ंक्शन निष्पादित करने की निम की क्षमता उन्हें यह करने की अनुमति देती है:

• जटिल तर्क को एम्बेड करें जिसे पहचानना मुश्किल हो
• बाइनरी के भीतर नियंत्रण प्रवाह को अस्पष्ट करें
• डेवलपर और रनटाइम कोड को आपस में मिला दें, जिससे विश्लेषण काफी कठिन हो जाएगा

इससे कॉम्पैक्ट, उच्च-कार्यक्षम बाइनरीज़ का निर्माण होता है, जिनकी दृश्यता पारंपरिक मैलवेयर पहचान इंजनों के लिए कम हो जाती है।

निमडोर एक स्पष्ट अनुस्मारक है कि मैकओएस अब उन्नत लगातार खतरों से सुरक्षित नहीं है। उत्तर कोरियाई अभिनेता अब विकसित तकनीकों और कम ज्ञात प्रोग्रामिंग भाषाओं का उपयोग करके इस प्लेटफ़ॉर्म को लक्षित कर रहे हैं, सूचित और सतर्क रहना पहले से कहीं अधिक महत्वपूर्ण है।