NimDoor Malware

साइबर सुरक्षा पेशेवरहरूले निमडुर नामक नयाँ र गोप्य म्याकोस मालवेयर परिवारको पर्दाफास गरेका छन्, जुन यसको उन्नत दृढता प्रविधि, गोप्य डेटा चोरी संयन्त्र र परिष्कृत चोरी क्षमताहरूको कारणले गम्भीर खतरा हो। यो दुर्भावनापूर्ण अभियानको श्रेय वेब३ र क्रिप्टोकरेन्सी क्षेत्रहरूलाई लक्षित गर्ने उत्तर कोरियाली-पङ्क्तिबद्ध खतरा अभिनेताहरूलाई दिइएको छ।

उत्तर कोरियाली ह्याकरहरूले निम र म्याकोसमा ध्यान केन्द्रित गरे

उत्तर कोरियासँग सम्बन्धित रहेको आशंका गरिएका धम्की दिने व्यक्तिहरूले अब आफ्नो मालवेयर शस्त्रागारमा निम प्रोग्रामिङ भाषाको प्रयोग गरिरहेका छन्। यसले उनीहरूको टुलकिटमा निरन्तर विकास भइरहेको संकेत गर्दछ, जसमा अघिल्ला अभियानहरूले गो र रस्ट जस्ता भाषाहरू प्रयोग गरेका छन्। निमको नयाँ प्रयोगले नवीनता ल्याउने उद्देश्य देखाउँछ, विशेष गरी पत्ता लगाउन र विश्लेषण गर्न गाह्रो हुने क्रस-प्लेटफर्म खतराहरू सिर्जना गर्ने।

यस अभियानमा, आक्रमणकारीहरूले विशेष गरी Web3 र क्रिप्टोकरेन्सी-केन्द्रित संस्थाहरूलाई पछ्याउँछन्, जसले डिजिटल वित्त पूर्वाधारमा बाधा पुर्‍याउने वा घुसपैठ गर्ने चासोका साथ आर्थिक रूपमा प्रेरित अपरेशनको सुझाव दिन्छ।

अत्यन्तै असामान्य macOS प्रविधिहरू

निमडुरलाई विशेष रूपमा चिन्ताजनक बनाउने कुरा भनेको म्याकोस संक्रमणको लागि यसको अपरम्परागत दृष्टिकोण हो। सबैभन्दा उल्लेखनीय कुरा, यसले प्रयोग गर्दछ:

• प्रक्रिया इन्जेक्सन, macOS मालवेयरको लागि एक दुर्लभ प्रविधि, जसले खतरालाई वैध प्रक्रियाहरू अपहरण र हेरफेर गर्न अनुमति दिन्छ।
• एन्क्रिप्टेड C2 अन्तरक्रियाहरूको लागि WSS (वेबसकेट सुरक्षित) सञ्चार च्यानलहरू।
• SIGINT र SIGTERM सिग्नल ह्यान्डलरहरूको प्रयोग गर्ने एउटा नयाँ पर्सिस्टन्स विधि, जसले मालवेयरलाई समाप्त हुँदा वा प्रणाली रिबुट हुँदा आफैलाई पुन: स्थापना गर्न अनुमति दिन्छ।

यी सुविधाहरूले यसलाई कम प्रोफाइल कायम राख्न र सामान्य प्रयोगकर्ता वा प्रणाली-सुरु गरिएका अवरोधहरू विरुद्ध लचिलो रहन सक्षम बनाउँछ।

सामाजिक इन्जिनियरिङ-इन्धनयुक्त आक्रमण श्रृंखला

आक्रमण सामाजिक इन्जिनियरिङ रणनीतिबाट सुरु हुन्छ:

• पीडितहरूलाई टेलिग्राम जस्ता प्लेटफर्महरू मार्फत सम्पर्क गरिन्छ र क्यालेन्डली प्रयोग गरेर जुम बैठकको तालिका बनाउन प्रलोभनमा पारिन्छ।
• भिडियो कन्फरेन्सिङ सफ्टवेयरसँग अनुकूलता सुनिश्चित गर्न उनीहरूले Zoom SDK अपडेट स्क्रिप्ट भएको नक्कली इमेल प्राप्त गर्छन्।

यसले दुर्भावनापूर्ण AppleScript को कार्यान्वयनमा डोर्‍याउँछ, जसले प्रयोगकर्तालाई वैध Zoom लिङ्कमा रिडिरेक्ट गर्दा रिमोट सर्भरबाट दोस्रो-चरणको स्क्रिप्ट डाउनलोड गर्छ। दोस्रो-चरणको स्क्रिप्टले निम्न समावेश भएका ZIP अभिलेखहरू निकाल्छ:

• स्थिरता स्थापित गर्न बाइनरीहरू
• प्रणाली डेटा चोरी गर्न बास स्क्रिप्टहरू

InjectWithDyldArm64 को भूमिका

संक्रमण प्रक्रियाको मुटुमा InjectWithDyldArm64, वा केवल InjectWithDyld भनेर चिनिने C++ लोडर हुन्छ। यो कम्पोनेन्ट प्रभावकारी र गोप्य रूपमा मालवेयर तैनाथ गर्नको लागि महत्त्वपूर्ण छ। यो दुई एम्बेडेड बाइनरीहरू डिक्रिप्ट गरेर सुरु हुन्छ, एउटा 'Target' र अर्को 'trojan1_arm64'। डिक्रिप्शन पछि, यो निलम्बित अवस्थामा लक्ष्य प्रक्रिया सुरु गर्न अगाडि बढ्छ। प्रक्रिया रोकिएपछि, लोडरले यसमा trojan1_arm64 बाइनरी इन्जेक्ट गर्छ र त्यसपछि कार्यान्वयन पुनः सुरु गर्छ। यो विधिले मानक प्रणाली प्रतिरक्षाहरूलाई बाइपास गर्दै र पत्ता लगाउने सम्भावनालाई कम गर्दै, अत्यधिक गोप्य तरिकाले मालिसियस पेलोडहरू डेलिभर र सक्रिय गर्न अनुमति दिन्छ।

प्रमाणपत्र चोरी र प्रणाली निगरानी

एकपटक सक्रिय भएपछि, मालवेयरले रिमोट कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग जडान स्थापित गर्दछ, जसले गर्दा यसले धेरै खराब कार्यहरू गर्न सक्छ। यसमा विस्तृत प्रणाली जानकारी सङ्कलन गर्ने, टाढाबाट जारी गरिएका मनमानी आदेशहरू कार्यान्वयन गर्ने, विभिन्न निर्देशिकाहरू मार्फत नेभिगेट गर्ने, र यी कार्यहरूको नतिजा आक्रमणकारीलाई फिर्ता पठाउने समावेश छ।

trojan1_arm64 कम्पोनेन्टको संलग्नताले खतरा बढ्छ, जसले C2 पूर्वाधारबाट दुई थप पेलोडहरू प्राप्त गरेर आक्रमणलाई बढाउँछ। यी पेलोडहरू विशेष रूपमा संवेदनशील जानकारी सङ्कलन गर्न बनाइएका हुन्। तिनीहरूको प्राथमिक लक्ष्यहरू व्यापक रूपमा प्रयोग हुने वेब ब्राउजरहरू - आर्क, ब्रेभ, क्रोम, एज, र फायरफक्समा भण्डारण गरिएका लगइन प्रमाणहरू, साथै टेलिग्राम सन्देश अनुप्रयोगबाट प्रयोगकर्ता डेटा हुन्।

दृढता संयन्त्रहरू

यसको प्राथमिक कम्पोनेन्टहरू बाहेक, मालवेयरले निम-आधारित एक्जिक्युटेबलहरू पनि तैनाथ गर्दछ जसले CoreKitAgent भनेर चिनिने मोड्युललाई सक्रिय गर्दछ। यो मोड्युलले यसको सञ्चालन समाप्त गर्ने कुनै पनि प्रयासको निगरानी गरेर मालवेयरको लचिलोपन सुनिश्चित गर्न महत्त्वपूर्ण भूमिका खेल्छ। यसको उपस्थिति कायम राख्न, यसले SIGINT र SIGTERM को लागि अनुकूलन सिग्नल ह्यान्डलरहरू स्थापना गर्दछ, यदि प्रयोगकर्ता वा सुरक्षा उपकरणले यसलाई बन्द गर्ने प्रयास गर्छ भने यसलाई स्वचालित रूपमा पुन: सुरु गर्न अनुमति दिन्छ। यो निर्मित संयन्त्रले मालवेयरको दृढतालाई उल्लेखनीय रूपमा बलियो बनाउँछ।

आक्रमणकारीहरूले एप्पलस्क्रिप्टको व्यापक प्रयोग पनि गर्छन्, यसलाई प्रारम्भिक संक्रमण चरणको समयमा मात्र नभई मालवेयरको सञ्चालनभरि निरन्तर निगरानी र नियन्त्रणको लागि प्रयोग गर्छन्। यस स्क्रिप्टिङ क्षमता मार्फत, मालवेयरले हार्ड-कोड गरिएको C2 सर्भरहरूमा प्रत्येक ३० सेकेन्डमा आवधिक बीकनहरू पठाउँछ, हाल चलिरहेको प्रक्रियाहरूको बारेमा विवरणहरू प्रकट गर्दछ, र रिमोट थ्रेट एक्टरद्वारा जारी गरिएका नयाँ आदेशहरू पूरा गर्दछ।

किन निमले मालवेयरलाई अझ खतरनाक बनाउँछ?

निम प्रोग्रामिङ भाषाको प्रयोगले आक्रमणकारीहरूलाई उल्लेखनीय फाइदाहरू दिन्छ। कम्पाइल समयमा कार्यहरू कार्यान्वयन गर्ने निमको क्षमताले तिनीहरूलाई अनुमति दिन्छ:

• पत्ता लगाउन गाह्रो हुने जटिल तर्क इम्बेड गर्नुहोस्
• बाइनरीहरू भित्र नियन्त्रण प्रवाहलाई अस्पष्ट पार्नुहोस्
• विकासकर्ता र रनटाइम कोडलाई मिसाउँदै, विश्लेषणलाई उल्लेखनीय रूपमा कठिन बनाउँदै

यसले परम्परागत मालवेयर पत्ता लगाउने इन्जिनहरूमा कम दृश्यताका साथ कम्प्याक्ट, उच्च-कार्यकारी बाइनरीहरू निम्त्याउँछ।

निमडुरले म्याकोस अब उन्नत निरन्तर खतराहरूबाट मुक्त छैन भन्ने कुराको स्पष्ट सम्झना गराउँछ। उत्तर कोरियाली खेलाडीहरूले अब विकसित प्रविधिहरू र कम ज्ञात प्रोग्रामिङ भाषाहरू प्रयोग गरेर यो प्लेटफर्मलाई लक्षित गरिरहेका छन्, सूचित र सतर्क रहनु पहिलेभन्दा बढी महत्त्वपूर्ण छ।