NimDoor ļaunprogrammatūra

Kiberdrošības speciālisti ir atklājuši jaunu un slepenu macOS ļaunprogrammatūru saimi ar nosaukumu NimDoor, kas rada nopietnus draudus, pateicoties tās uzlabotajām saglabāšanas metodēm, slepenajiem datu zādzības mehānismiem un sarežģītajām apiešanas iespējām. Šī ļaunprātīgā kampaņa tiek attiecināta uz Ziemeļkorejas atbalstītiem apdraudējumu veidotājiem, kas mērķē uz Web3 un kriptovalūtu sektoriem.

Ziemeļkorejas hakeri pievēršas Nim un macOS

Ar Ziemeļkoreju saistītie apdraudējumu izpildītāji tagad savā ļaunprogrammatūru arsenālā izmanto Nim programmēšanas valodu. Tas iezīmē pastāvīgu viņu rīku komplekta evolūciju, iepriekšējās kampaņās izmantojot tādas valodas kā Go un Rust. Nim jaunā izmantošana liecina par vēlmi ieviest jauninājumus, īpaši tādu starpplatformu apdraudējumu izstrādē, kurus ir grūti atklāt un analizēt.

Šajā kampaņā uzbrucēji īpaši vēršas pret Web3 un kriptovalūtām vērstām organizācijām, norādot uz finansiāli motivētu operāciju, kuras mērķis ir traucēt vai iefiltrēties digitālās finanšu infrastruktūras darbībā.

Ļoti neparastas macOS metodes

NimDoor īpaši satraucošu padara tā netradicionālā pieeja macOS inficēšanai. Visnozīmīgākā ir tā izmantošana:

• Procesa injekcija — reta macOS ļaunprogrammatūras metode, kas ļauj apdraudējumam nolaupīt un manipulēt ar likumīgiem procesiem.
• WSS (WebSocket Secure) sakaru kanāli šifrētai C2 mijiedarbībai.
• Jauna saglabāšanas metode, kas izmanto SIGINT un SIGTERM signālu apstrādātājus, ļaujot ļaunprogrammatūrai atkārtoti instalēties pēc darbības pārtraukšanas vai sistēmas atsāknēšanas.

Šīs funkcijas ļauj tam saglabāt zemu profilu un saglabāt noturību pret biežiem lietotāju vai sistēmas izraisītiem traucējumiem.

Sociālās inženierijas vadīta uzbrukumu ķēde

Uzbrukums sākas ar sociālās inženierijas stratēģiju:

• Ar upuriem sazinās, izmantojot tādas platformas kā Telegram, un pierunā viņus ieplānot Zoom sapulci, izmantojot Calendly.
• Viņi saņem viltotu e-pastu ar Zoom SDK atjaunināšanas skriptu, kas it kā nodrošina saderību ar videokonferenču programmatūru.

Tas noved pie ļaunprātīga AppleScript skripta izpildes, kas no attālināta servera lejupielādē otrās pakāpes skriptu, vienlaikus novirzot lietotāju uz likumīgu Zoom saiti. Otrās pakāpes skripts izgūst ZIP arhīvus, kas satur:

• Binārie faili noturības nodrošināšanai
• Bash skripti sistēmas datu zādzībai

InjectWithDyldArm64 loma

Infekcijas procesa centrā ir C++ ielādētājs, kas pazīstams kā InjectWithDyldArm64 jeb vienkārši InjectWithDyld. Šis komponents ir ļoti svarīgs, lai efektīvi un slepeni izvietotu ļaunprogrammatūru. Tas sāk, atšifrējot divus iegultos bināros failus, vienu ar nosaukumu “Target” un otru “trojan1_arm64”. Pēc atšifrēšanas tas apturētā stāvoklī palaiž Target procesu. Kad process ir apturēts, ielādētājs tajā ievada trojan1_arm64 bināro failu un pēc tam atsāk tā izpildi. Šī metode ļauj piegādāt un aktivizēt ļaunprātīgos datus ļoti nemanāmi, apejot standarta sistēmas aizsardzību un samazinot atklāšanas iespējamību.

Akreditācijas datu zādzība un sistēmas uzraudzība

Kad ļaunprogrammatūra ir aktīva, tā izveido savienojumu ar attālinātu vadības un kontroles (C2) serveri, ļaujot tai veikt vairākas ļaunprātīgas darbības. To skaitā ir detalizētas sistēmas informācijas vākšana, patvaļīgu attālināti izdotu komandu izpilde, navigācija pa dažādiem direktorijiem un šo darbību rezultātu nosūtīšana atpakaļ uzbrucējam.

Apdraudējums saasinās, iesaistoties komponentam trojan1_arm64, kas pastiprina uzbrukumu, izgūstot vēl divas vērtības no C2 infrastruktūras. Šīs vērtības ir īpaši izstrādātas, lai iegūtu sensitīvu informāciju. To galvenie mērķi ir pieteikšanās akreditācijas dati, kas glabājas plaši izmantotās tīmekļa pārlūkprogrammās — Arc, Brave, Chrome, Edge un Firefox, kā arī lietotāju dati no ziņojumapmaiņas lietotnes Telegram.

Noturības mehānismi

Papildus galvenajiem komponentiem ļaunprogrammatūra izmanto arī uz Nim balstītus izpildāmos failus, kas aktivizē moduli, kas pazīstams kā CoreKitAgent. Šim modulim ir izšķiroša nozīme ļaunprogrammatūras noturības nodrošināšanā, uzraugot visus mēģinājumus pārtraukt tās darbību. Lai uzturētu savu klātbūtni, tā instalē pielāgotus signālu apstrādātājus SIGINT un SIGTERM, ļaujot tai automātiski restartēties, ja lietotājs vai drošības rīks mēģina to apturēt. Šis iebūvētais mehānisms ievērojami pastiprina ļaunprogrammatūras noturību.

Uzbrucēji arī plaši izmanto AppleScript, ne tikai sākotnējā inficēšanas fāzē, bet arī visā ļaunprogrammatūras darbības laikā pastāvīgai uzraudzībai un kontrolei. Izmantojot šo skriptēšanas iespēju, ļaunprogrammatūra ik pēc 30 sekundēm periodiski nosūta signālus uz cietkodētiem C2 serveriem, izgūst informāciju par pašlaik darbojošajiem procesiem un izpilda jaunas komandas, ko izdod attālais apdraudējuma izpildītājs.

Kāpēc Nims padara ļaunprogrammatūru bīstamāku

Nim programmēšanas valodas izmantošana sniedz uzbrucējiem ievērojamas priekšrocības. Nim spēja izpildīt funkcijas kompilēšanas laikā ļauj viņiem:

• Iegult sarežģītu loģiku, kuru ir grūti atklāt
• Aptumšot vadības plūsmu bināros failos
• Sajauc izstrādātāja un izpildlaika kodu, ievērojami apgrūtinot analīzi

Tas noved pie kompaktiem, augstas funkcionalitātes binārajiem failiem, kurus tradicionālie ļaunprogrammatūras noteikšanas dzinēji nespēj tik labi redzēt.

NimDoor ir skarbs atgādinājums, ka macOS vairs nav imūna pret pastāvīgiem, progresīviem draudiem. Tā kā Ziemeļkorejas uzbrucēji tagad uzbrūk šai platformai, izmantojot attīstošas metodes un mazāk zināmas programmēšanas valodas, ir svarīgāk nekā jebkad agrāk būt informētam un modram.