Ponuda s popustom na više licenci
Baza prijetnji Malware NimDoor zlonamjerni softver

NimDoor zlonamjerni softver

Do Mezo. Malware. godine
Prevedi na:

Stručnjaci za kibernetičku sigurnost otkrili su novu i prikrivenu obitelj zlonamjernog softvera za macOS nazvanu NimDoor, koja predstavlja ozbiljnu prijetnju zbog svojih naprednih tehnika perzistencije, prikrivenih mehanizama krađe podataka i sofisticiranih mogućnosti izbjegavanja. Ova zlonamjerna kampanja pripisuje se sjevernokorejskim prijetnjama koje ciljaju sektore Web3 i kriptovaluta.

Sjevernokorejski hakeri se okreću Nimu i macOS-u

Akteri prijetnji za koje se sumnja da su povezani sa Sjevernom Korejom sada koriste programski jezik Nim u svom arsenalu zlonamjernog softvera. To označava kontinuiranu evoluciju njihovog alata, s prethodnim kampanjama koje su koristile jezike poput Go i Rust. Nova upotreba Nima pokazuje namjeru za inovacijama, posebno u stvaranju prijetnji na više platformi koje je teško otkriti i analizirati.

U ovoj kampanji, napadači posebno ciljaju na organizacije usmjerene na Web3 i kriptovalute, što sugerira financijski motiviranu operaciju s interesom za ometanje ili infiltraciju digitalne financijske infrastrukture.

Vrlo neobične tehnike u macOS-u

Ono što NimDoor čini posebno zabrinjavajućim je njegov nekonvencionalan pristup infekciji macOS-a. Najznačajnije je to što koristi:

  • Ubrizgavanje procesa, rijetka tehnika za zlonamjerni softver u macOS-u, omogućuje prijetnji otmicu i manipuliranje legitimnim procesima.
  • WSS (WebSocket Secure) komunikacijski kanali za šifrirane C2 interakcije.
  • Nova metoda perzistentnosti koja koristi SIGINT i SIGTERM signalne rutere, omogućujući zlonamjernom softveru da se ponovno instalira nakon prekida rada ili ponovnog pokretanja sustava.

Ove značajke omogućuju mu da ostane neprimjetan i otporan na uobičajene poremećaje koje iniciraju korisnici ili sustav.

Lanac napada potaknut društvenim inženjeringom

Napad započinje strategijom socijalnog inženjeringa:

  • Žrtve se kontaktiraju putem platformi poput Telegrama i namamljuju da zakažu Zoom sastanak pomoću Calendlyja.
  • Primaju lažnu e-poštu sa skriptom za ažuriranje Zoom SDK-a, navodno kako bi se osigurala kompatibilnost sa softverom za videokonferencije.

To dovodi do izvršavanja zlonamjernog AppleScripta, koji preuzima skriptu druge faze s udaljenog poslužitelja dok preusmjerava korisnika na legitimnu Zoom poveznicu. Skripta druge faze izdvaja ZIP arhive koje sadrže:

  • Binarne datoteke za uspostavljanje perzistencije
  • Bash skripte za krađu sistemskih podataka

Uloga InjectWithDyldArm64

U središtu procesa zaraze je C++ učitivač poznat kao InjectWithDyldArm64, ili jednostavno InjectWithDyld. Ova komponenta je ključna za učinkovito i prikriveno postavljanje zlonamjernog softvera. Počinje dešifriranjem dvije ugrađene binarne datoteke, jedne pod nazivom 'Target' i druge 'trojan1_arm64'. Nakon dešifriranja, nastavlja s pokretanjem procesa Target u suspendiranom stanju. Dok je proces pauziran, učitivač ubrizgava binarnu datoteku trojan1_arm64 u njega, a zatim nastavlja s izvršavanjem. Ova metoda omogućuje isporuku i aktiviranje zlonamjernih sadržaja na vrlo prikriven način, zaobilazeći standardne obrane sustava i minimizirajući mogućnost otkrivanja.

Krađa vjerodajnica i nadzor sustava

Nakon što je aktivan, zlonamjerni softver uspostavlja vezu s udaljenim Command-and-Control (C2) poslužiteljem, što mu omogućuje izvođenje nekoliko zlonamjernih operacija. To uključuje prikupljanje detaljnih informacija o sustavu, izvršavanje proizvoljnih naredbi izdanih na daljinu, navigaciju kroz različite direktorije i slanje rezultata tih radnji natrag napadaču.

Prijetnja eskalira uključivanjem komponente trojan1_arm64, koja pojačava napad preuzimanjem još dvaju korisnih podataka iz C2 infrastrukture. Ovi korisni podaci izrađeni su posebno za prikupljanje osjetljivih informacija. Njihovi primarni ciljevi su podaci za prijavu pohranjeni u široko korištenim web preglednicima - Arc, Brave, Chrome, Edge i Firefox, kao i korisnički podaci iz aplikacije za razmjenu poruka Telegram.

Mehanizmi perzistencije

Osim svojih primarnih komponenti, zlonamjerni softver također koristi izvršne datoteke temeljene na Nimu koje aktiviraju modul poznat kao CoreKitAgent. Ovaj modul igra ključnu ulogu u osiguravanju otpornosti zlonamjernog softvera praćenjem svih pokušaja prekida njegovog rada. Kako bi održao svoju prisutnost, instalira prilagođene rukovatelje signalima za SIGINT i SIGTERM, omogućujući mu automatsko ponovno pokretanje ako ga korisnik ili sigurnosni alat pokušaju isključiti. Ovaj ugrađeni mehanizam značajno jača postojanost zlonamjernog softvera.

Napadači također intenzivno koriste AppleScript, iskorištavajući ga ne samo tijekom početne faze infekcije već i tijekom cijelog rada zlonamjernog softvera za kontinuirano praćenje i kontrolu. Pomoću ove mogućnosti skriptiranja, zlonamjerni softver šalje periodične beacone svakih 30 sekundi na C2 poslužitelje s ugrađenim kodom, prikuplja detalje o trenutno pokrenutim procesima i izvršava nove naredbe koje izdaje udaljeni napadač.

Zašto Nim čini zlonamjerni softver opasnijim

Korištenje programskog jezika Nim daje napadačima značajne prednosti. Nimova sposobnost izvršavanja funkcija tijekom kompajliranja omogućuje im:

  • Ugradite složenu logiku koju je teško otkriti
  • Zamaglite tok upravljanja unutar binarnih datoteka
  • Miješaju programski kod i kod u okruženju za izvođenje, što znatno otežava analizu

To dovodi do kompaktnih, visokofunkcionalnih binarnih datoteka sa smanjenom vidljivošću za tradicionalne mehanizme za detekciju zlonamjernog softvera.

NimDoor je oštar podsjetnik da macOS više nije imun na napredne uporne prijetnje. S obzirom na to da sjevernokorejski akteri sada ciljaju ovu platformu koristeći tehnike koje se razvijaju i manje poznate programske jezike, informiranost i oprez su važniji nego ikad.

U trendu

Nagledanije

Učitavam...