„NimDoor“ kenkėjiška programa
Kibernetinio saugumo specialistai atskleidė naują ir slaptą „macOS“ kenkėjiškų programų šeimą, vadinamą „NimDoor“, kuri kelia rimtą grėsmę dėl pažangių atkaklumo technikų, slaptų duomenų vagystės mechanizmų ir sudėtingų apėjimo galimybių. Ši kenkėjiška kampanija priskiriama Šiaurės Korėjos remiamiems kibernetinio saugumo veikėjams, nukreiptiems prieš „Web3“ ir kriptovaliutų sektorius.
Turinys
Šiaurės Korėjos įsilaužėliai atsigręžia į „Nim“ ir „macOS“
Įtariami su Šiaurės Korėja susiję grėsmių veikėjai dabar savo kenkėjiškų programų arsenale naudoja „Nim“ programavimo kalbą. Tai žymi nuolatinę jų įrankių rinkinio evoliuciją, o ankstesnėse kampanijose buvo naudojamos tokios kalbos kaip „Go“ ir „Rust“. Naujas „Nim“ naudojimas rodo ketinimą diegti naujoves, ypač kuriant įvairių platformų grėsmes, kurias sunku aptikti ir analizuoti.
Šioje kampanijoje užpuolikai konkrečiai taikosi į „Web3“ ir kriptovaliutomis pagrįstas organizacijas, teigdami, kad tai finansiškai motyvuota operacija, kuria siekiama sutrikdyti skaitmeninės finansų infrastruktūros veikimą ar į ją infiltruotis.
Labai neįprasti „macOS“ metodai
„NimDoor“ ypač nerimą kelia netradicinis požiūris į macOS užkrėtimą. Svarbiausia, kad jis naudoja:
- Procesų injekcija – reta „macOS“ kenkėjiškų programų technika, leidžianti grėsmei užgrobti ir manipuliuoti teisėtais procesais.
- WSS (WebSocket Secure) ryšio kanalai užšifruotai C2 sąveikai.
- Naujas išsaugojimo metodas, kuris naudoja SIGINT ir SIGTERM signalų tvarkykles, leidžiančias kenkėjiškai programai iš naujo įsirašyti, kai ji nutraukiama arba perkraunama sistema.
Šios savybės leidžia jai išlikti nepastebėtai ir atspariai įprastiems vartotojų ar sistemos inicijuotiems trikdžiams.
Socialinės inžinerijos kurstoma atakų grandinė
Ataka prasideda nuo socialinės inžinerijos strategijos:
- Su aukomis susisiekiama per tokias platformas kaip „Telegram“ ir jos viliojamos suplanuoti „Zoom“ susitikimą naudojant „Calendly“.
- Jie gauna netikrą el. laišką su „Zoom SDK“ atnaujinimo scenarijumi, neva skirtu užtikrinti suderinamumą su vaizdo konferencijų programine įranga.
Dėl to vykdomas kenkėjiškas „AppleScript“ kodas, kuris atsisiunčia antro etapo skriptą iš nuotolinio serverio ir nukreipia vartotoją į teisėtą „Zoom“ nuorodą. Antro etapo skriptas išskleidžia ZIP archyvus, kuriuose yra:
- Dvejetainiai failai, skirti užtikrinti pastovumą
- Bash scenarijai sistemos duomenims vogti
„InjectWithDyldArm64“ vaidmuo
Užkrėtimo proceso centre yra C++ įkrovos programa, žinoma kaip „InjectWithDyldArm64“ arba tiesiog „InjectWithDyld“. Šis komponentas yra labai svarbus norint efektyviai ir slapta dislokuoti kenkėjišką programą. Jis pradeda iššifruodamas du įterptus dvejetainius failus, vieną pavadintą „Target“, o kitą – „trojan1_arm64“. Po iššifravimo jis paleidžia „Target“ procesą sustabdytoje būsenoje. Pristabdžius procesą, įkrovos programa į jį įterpia dvejetainį failą „trojan1_arm64“ ir tada tęsia vykdymą. Šis metodas leidžia kenkėjiškus naudingus duomenis pristatyti ir aktyvuoti labai slaptu būdu, apeinant standartinę sistemos apsaugą ir sumažinant aptikimo tikimybę.
Įgaliojimų vagystės ir sistemos stebėjimas
Kai kenkėjiška programa tampa aktyvi, ji užmezga ryšį su nuotoliniu komandų ir valdymo (C2) serveriu, kuris leidžia jai atlikti įvairias kenkėjiškas operacijas. Tai apima išsamios sistemos informacijos rinkimą, savavališkų nuotoliniu būdu duotų komandų vykdymą, naršymą skirtinguose kataloguose ir šių veiksmų rezultatų perdavimą užpuolikui.
Grėsmė didėja įsitraukus komponentui „trojan1_arm64“, kuris sustiprina ataką, iš C2 infrastruktūros nuskaitydamas dar du naudinguosius duomenis. Šie naudingieji duomenys yra specialiai sukurti slaptai informacijai rinkti. Jų pagrindiniai taikiniai yra prisijungimo duomenys, saugomi plačiai naudojamose interneto naršyklėse – „Arc“, „Brave“, „Chrome“, „Edge“ ir „Firefox“, taip pat vartotojų duomenys iš pranešimų siuntimo programos „Telegram“.
Išlikimo mechanizmai
Be pagrindinių komponentų, kenkėjiška programa taip pat diegia „Nim“ pagrindu sukurtus vykdomuosius failus, kurie aktyvuoja modulį, vadinamą „CoreKitAgent“. Šis modulis atlieka labai svarbų vaidmenį užtikrinant kenkėjiškos programos atsparumą, stebėdamas bet kokius bandymus nutraukti jos veikimą. Kad išlaikytų savo buvimą, ji įdiegia pritaikytus SIGINT ir SIGTERM signalų tvarkykles, leidžiančias jai automatiškai paleisti iš naujo, jei vartotojas ar saugos įrankis bando ją išjungti. Šis integruotas mechanizmas žymiai sustiprina kenkėjiškos programos atsparumą.
Užpuolikai taip pat plačiai naudoja „AppleScript“, ne tik pradinio užkrėtimo etapo metu, bet ir viso kenkėjiškos programos veikimo metu, kad galėtų nuolat stebėti ir kontroliuoti. Naudodamasi šia scenarijų rašymo funkcija, kenkėjiška programa kas 30 sekundžių siunčia periodinius švyturėlius į užkoduotus C2 serverius, išfiltruoja informaciją apie šiuo metu vykdomus procesus ir vykdo naujas nuotolinio grėsmės veikėjo duotas komandas.
Kodėl „Nim“ kenkėjiškas programas daro pavojingesnes
„Nim“ programavimo kalbos naudojimas suteikia užpuolikams pastebimų pranašumų. „Nim“ gebėjimas vykdyti funkcijas kompiliavimo metu leidžia jiems:
- Įterpti sudėtingą logiką, kurią sunku aptikti
- Užmaskuoti valdymo srautą dvejetainiuose failuose
- Sumaišykite kūrėjo ir vykdymo laiko kodus, todėl analizė tampa žymiai sudėtingesnė
Dėl to gaunami kompaktiški, gerai veikiantys dvejetainiai failai, kuriuos tradiciniai kenkėjiškų programų aptikimo mechanizmai mažiau mato.
„NimDoor“ yra rimtas priminimas, kad „macOS“ nebėra apsaugota nuo pažangių nuolatinių grėsmių. Šiaurės Korėjos veikėjams dabar taikantis į šią platformą, naudojant besivystančias technologijas ir mažiau žinomas programavimo kalbas, išlikti informuotam ir budriam yra svarbiau nei bet kada anksčiau.
