NimDoor kártevő
Kiberbiztonsági szakemberek lepleztek le egy új és alattomos macOS kártevőcsaládot, a NimDoort, amely komoly fenyegetést jelent fejlett behatolási technikái, lopakodó adatlopási mechanizmusai és kifinomult kijátszási képességei miatt. Ezt a rosszindulatú kampányt Észak-Koreához kötődő fenyegető szereplőkhöz kötik, amelyek a Web3 és a kriptovaluta szektorokat veszik célba.
Tartalomjegyzék
Észak-koreai hackerek Nimre és a macOS-re térnek át
Az Észak-Koreához köthetőnek vélt fenyegetések mostantól a Nim programozási nyelvet használják kártevő-arzenáljukban. Ez folyamatos fejlődést jelez eszköztárukban, a korábbi kampányok olyan nyelveket használtak, mint a Go és a Rust. A Nim új használata az innováció iránti szándékot mutatja, különösen a nehezen észlelhető és elemzhető, többplatformos fenyegetések kidolgozásában.
Ebben a kampányban a támadók kifejezetten a Web3-ra és a kriptovalutákra fókuszáló szervezeteket veszik célba, ami egy pénzügyileg motivált műveletre utal, amelynek célja a digitális pénzügyi infrastruktúra megzavarása vagy beszivárgása.
Rendkívül szokatlan macOS technikák
A NimDoor különösen aggasztóvá teszi a macOS fertőzések kezelésének szokatlan megközelítését. Leginkább a következőket használja:
- Folyamatbefecskendezés, egy ritka technika a macOS kártevőknél, amely lehetővé teszi a fenyegetés számára, hogy eltérítse és manipulálja a legitim folyamatokat.
- WSS (WebSocket Secure) kommunikációs csatornák titkosított C2 interakciókhoz.
- Egy újszerű, a SIGINT és SIGTERM jelkezelőket kihasználó perzisztencia-módszer, amely lehetővé teszi a kártevő újratelepítését a rendszer leállításakor vagy újraindításakor.
Ezek a funkciók lehetővé teszik, hogy alacsony profilú maradjon, és ellenálló maradjon a gyakori felhasználói vagy rendszer által kezdeményezett zavarokkal szemben.
Szociális manipulációval táplált támadási lánc
A támadás egy szociális manipulációs stratégiával kezdődik:
- Az áldozatokat olyan platformokon keresztül veszik fel a kapcsolatot, mint a Telegram, és ráveszik őket egy Zoom-találkozó ütemezésére a Calendly segítségével.
- Egy hamis e-mailt kapnak egy Zoom SDK frissítő szkripttel, állítólag a videokonferencia-szoftverrel való kompatibilitás biztosítására.
Ez egy rosszindulatú AppleScript végrehajtásához vezet, amely egy második szintű szkriptet tölt le egy távoli szerverről, miközben a felhasználót egy legitim Zoom linkre irányítja át. A második szintű szkript kinyeri a ZIP archívumokat, amelyek a következőket tartalmazzák:
- Bináris fájlok a perzisztencia létrehozásához
- Bash szkriptek rendszeradatok ellopására
Az InjectWithDyldArm64 szerepe
A fertőzési folyamat középpontjában egy InjectWithDyldArm64, vagy egyszerűen InjectWithDyld néven ismert C++ betöltő áll. Ez a komponens kulcsfontosságú a rosszindulatú program hatékony és rejtett telepítéséhez. Két beágyazott bináris fájl visszafejtésével kezdődik, az egyik a „Target”, a másik a „trojan1_arm64” névet viseli. A visszafejtés után felfüggesztett állapotban indítja el a Target folyamatot. A folyamat szüneteltetése után a betöltő befecskendezi a trojan1_arm64 bináris fájlt, majd folytatja a végrehajtást. Ez a módszer lehetővé teszi a rosszindulatú hasznos adatok kézbesítését és aktiválását rendkívül észrevétlen módon, megkerülve a szokásos rendszervédelmet és minimalizálva az észlelés esélyét.
Hitelesítő adatok ellopása és rendszerfelügyelet
Aktiválás után a rosszindulatú program kapcsolatot létesít egy távoli Command-and-Control (C2) szerverrel, lehetővé téve számára számos rosszindulatú művelet végrehajtását. Ezek közé tartozik a részletes rendszerinformációk gyűjtése, távolról kiadott tetszőleges parancsok végrehajtása, különböző könyvtárakban való navigálás, és ezen műveletek eredményeinek továbbítása a támadónak.
A fenyegetés fokozódik a trojan1_arm64 komponens bevonásával, amely két további hasznos adatot kér le a C2 infrastruktúrából, ami fokozza a támadást. Ezeket a hasznos adatokat kifejezetten érzékeny információk gyűjtése céljából fejlesztették ki. Elsődleges célpontjaik a széles körben használt webböngészőkben – Arc, Brave, Chrome, Edge és Firefox – tárolt bejelentkezési adatok, valamint a Telegram üzenetküldő alkalmazás felhasználói adatai.
Perzisztencia mechanizmusok
Elsődleges összetevőin túl a kártevő Nim-alapú futtatható fájlokat is telepít, amelyek aktiválják a CoreKitAgent nevű modult. Ez a modul kritikus szerepet játszik a kártevő ellenálló képességének biztosításában azáltal, hogy figyeli a működésének leállítására irányuló kísérleteket. Jelenlétének fenntartása érdekében egyéni jelkezelőket telepít a SIGINT és a SIGTERM jelzésekhez, lehetővé téve az automatikus újraindítást, ha egy felhasználó vagy biztonsági eszköz megpróbálja leállítani. Ez a beépített mechanizmus jelentősen növeli a kártevő tartósságát.
A támadók széles körben használják az AppleScriptet is, nemcsak a fertőzés kezdeti fázisában, hanem a kártevő működése során is a folyamatos megfigyelés és ellenőrzés érdekében. Ezen szkriptelési képesség révén a kártevő 30 másodpercenként periodikus jelzőket küld a fixen kódolt C2-kiszolgálóknak, kiszivárogtatja az aktuálisan futó folyamatok részleteit, és végrehajtja a távoli fenyegetés okozója által kiadott új parancsokat.
Miért teszi Nim veszélyesebbé a rosszindulatú programokat?
A Nim programozási nyelv használata jelentős előnyöket biztosít a támadóknak. A Nim azon képessége, hogy függvényeket hajt végre fordítási időben, lehetővé teszi számukra, hogy:
- Nehezen észrevehető, összetett logika beágyazása
- Bináris fájlokon belüli vezérlési folyamat obfuszkálása
- A fejlesztői és a futásidejű kód összekeverése jelentősen megnehezíti az elemzést
Ez kompakt, nagy teljesítményű bináris fájlokat eredményez, amelyek kevésbé láthatóak a hagyományos kártevő-észlelő motorok számára.
A NimDoor komoly emlékeztető arra, hogy a macOS már nem immunis a fejlett, állandó fenyegetésekkel szemben. Mivel az észak-koreai szereplők mostantól fejlődő technikákat és kevésbé ismert programozási nyelveket használnak a platform célba vételéhez, a tájékozottság és az éberség minden eddiginél fontosabb.
