Oprogramowanie złośliwe NimDoor

Specjaliści od cyberbezpieczeństwa odkryli nową i ukrytą rodzinę złośliwego oprogramowania macOS o nazwie NimDoor, która stanowi poważne zagrożenie ze względu na zaawansowane techniki trwałości, ukryte mechanizmy kradzieży danych i wyrafinowane możliwości unikania. Ta złośliwa kampania jest przypisywana północnokoreańskim aktorom zagrożeń atakującym sektory Web3 i kryptowalut.

Północnokoreańscy hakerzy przechodzą na Nim i macOS

Podejrzewani o powiązania z Koreą Północną aktorzy zagrożeń wykorzystują teraz język programowania Nim w swoim arsenale złośliwego oprogramowania. Oznacza to ciągłą ewolucję ich zestawu narzędzi, a poprzednie kampanie wykorzystywały języki takie jak Go i Rust. Nowe zastosowanie Nim pokazuje intencję innowacji, zwłaszcza w tworzeniu zagrożeń międzyplatformowych, które są trudne do wykrycia i analizy.

W ramach tej kampanii atakujący celują konkretnie w organizacje zajmujące się Web3 i kryptowalutami, co sugeruje, że operacja ma podłoże finansowe i ma na celu zakłócenie funkcjonowania lub infiltrację infrastruktury finansów cyfrowych.

Bardzo nietypowe techniki macOS

To, co sprawia, że NimDoor jest szczególnie niepokojący, to jego niekonwencjonalne podejście do infekcji macOS. Przede wszystkim używa:

• Wstrzykiwanie procesów, rzadka technika złośliwego oprogramowania dla systemu macOS, umożliwiająca przejęcie kontroli nad legalnymi procesami i manipulowanie nimi.
• Kanały komunikacyjne WSS (WebSocket Secure) umożliwiające szyfrowane interakcje C2.
• Nowa metoda trwałości wykorzystująca obsługę sygnałów SIGINT i SIGTERM, umożliwiająca złośliwemu oprogramowaniu ponowną instalację po zakończeniu działania lub ponownym uruchomieniu systemu.

Dzięki tym cechom system może zachować anonimowość i odporność na typowe zakłócenia powodowane przez użytkowników lub system.

Łańcuch ataków napędzany inżynierią społeczną

Atak rozpoczyna się od strategii socjotechnicznej:

• Z ofiarami kontaktuje się za pośrednictwem platform takich jak Telegram, a następnie namawia się je do umówienia spotkania na Zoomie za pomocą Calendly.
• Otrzymują fałszywy e-mail ze skryptem aktualizacji Zoom SDK, który rzekomo ma zapewnić kompatybilność z oprogramowaniem do wideokonferencji.

Prowadzi to do wykonania złośliwego skryptu AppleScript, który pobiera skrypt drugiego etapu ze zdalnego serwera, przekierowując jednocześnie użytkownika do legalnego łącza Zoom. Skrypt drugiego etapu wyodrębnia archiwa ZIP zawierające:

• Pliki binarne do ustanawiania trwałości
• Skrypty powłoki do kradzieży danych systemowych

Rola InjectWithDyldArm64

Sercem procesu infekcji jest ładowarka C++ znana jako InjectWithDyldArm64 lub po prostu InjectWithDyld. Ten komponent jest kluczowy dla skutecznego i ukrytego wdrażania złośliwego oprogramowania. Zaczyna od odszyfrowania dwóch osadzonych plików binarnych, jednego o nazwie „Target”, a drugiego „trojan1_arm64”. Po odszyfrowaniu uruchamia proces Target w stanie wstrzymanym. Po wstrzymaniu procesu ładowarka wstrzykuje do niego plik binarny trojan1_arm64, a następnie wznawia wykonywanie. Ta metoda umożliwia dostarczanie i aktywowanie złośliwych ładunków w wysoce ukryty sposób, omijając standardowe zabezpieczenia systemu i minimalizując szansę wykrycia.

Kradzież danych uwierzytelniających i nadzór nad systemem

Po aktywacji złośliwe oprogramowanie nawiązuje połączenie ze zdalnym serwerem Command-and-Control (C2), co pozwala mu na przeprowadzenie kilku złośliwych operacji. Obejmują one zbieranie szczegółowych informacji o systemie, wykonywanie dowolnych poleceń wydawanych zdalnie, nawigowanie po różnych katalogach i przesyłanie wyników tych działań z powrotem do atakującego.

Zagrożenie nasila się wraz z zaangażowaniem komponentu trojan1_arm64, który wzmacnia atak, pobierając dwa dodatkowe ładunki z infrastruktury C2. Ładunki te są tworzone specjalnie w celu zbierania poufnych informacji. Ich głównymi celami są dane logowania przechowywane w powszechnie używanych przeglądarkach internetowych — Arc, Brave, Chrome, Edge i Firefox, a także dane użytkownika z aplikacji do przesyłania wiadomości Telegram.

Mechanizmy trwałości

Oprócz swoich głównych komponentów, malware wdraża również pliki wykonywalne oparte na Nim, które aktywują moduł znany jako CoreKitAgent. Ten moduł odgrywa kluczową rolę w zapewnieniu odporności malware poprzez monitorowanie wszelkich prób zakończenia jego działania. Aby utrzymać swoją obecność, instaluje niestandardowe programy obsługi sygnałów dla SIGINT i SIGTERM, umożliwiając automatyczne ponowne uruchomienie, jeśli użytkownik lub narzędzie bezpieczeństwa próbuje je wyłączyć. Ten wbudowany mechanizm znacznie wzmacnia trwałość malware.

Atakujący wykorzystują również AppleScript w szerokim zakresie, wykorzystując go nie tylko w początkowej fazie infekcji, ale także w trakcie działania malware w celu stałego monitorowania i kontroli. Dzięki tej możliwości skryptowania malware wysyła okresowe sygnały co 30 sekund do zakodowanych na stałe serwerów C2, eksfiltruje szczegóły dotyczące aktualnie uruchomionych procesów i wykonuje nowe polecenia wydane przez zdalnego aktora zagrożenia.

Dlaczego Nim sprawia, że złośliwe oprogramowanie jest bardziej niebezpieczne

Użycie języka programowania Nim daje atakującym znaczące korzyści. Możliwość wykonywania funkcji w czasie kompilacji przez Nim pozwala im na:

• Umieść skomplikowaną logikę, którą trudno wykryć
• Zaciemnij przepływ sterowania w plikach binarnych
• Wymieszanie kodu programisty i środowiska wykonawczego, co znacznie utrudnia analizę

W efekcie powstają kompaktowe, wysoce funkcjonalne pliki binarne, których przejrzystość dla tradycyjnych silników wykrywania złośliwego oprogramowania jest ograniczona.

NimDoor to dobitne przypomnienie, że macOS nie jest już odporny na zaawansowane, uporczywe zagrożenia. Ponieważ północnokoreańscy aktorzy atakują teraz tę platformę, używając ewoluujących technik i mniej znanych języków programowania, pozostawanie poinformowanym i czujnym jest ważniejsze niż kiedykolwiek.