Вредоносное ПО NimDoor
Специалисты по кибербезопасности обнаружили новое и скрытное семейство вредоносных программ для macOS под названием NimDoor, которое представляет серьезную угрозу из-за своих передовых методов сохранения, скрытых механизмов кражи данных и сложных возможностей уклонения. Эта вредоносная кампания приписывается связанным с Северной Кореей субъектам угроз, нацеленным на секторы Web3 и криптовалюты.
Оглавление
Северокорейские хакеры переходят на Nim и macOS
Злоумышленники, подозреваемые в связях с Северной Кореей, теперь используют язык программирования Nim в своем арсенале вредоносных программ. Это знаменует собой постоянную эволюцию их инструментария, поскольку в предыдущих кампаниях использовались такие языки, как Go и Rust. Новое использование Nim демонстрирует намерение к инновациям, особенно в создании кроссплатформенных угроз, которые трудно обнаружить и проанализировать.
В этой кампании злоумышленники специально преследуют организации, занимающиеся Web3 и криптовалютами, что говорит о финансовой мотивации операции, направленной на нарушение работы или проникновение в инфраструктуру цифровых финансов.
Крайне необычные приемы macOS
Что делает NimDoor особенно тревожным, так это его нетрадиционный подход к заражению macOS. В частности, он использует:
- Внедрение процесса — редкий метод вредоносного ПО для macOS, позволяющий угрозе перехватывать и манипулировать легитимными процессами.
- Каналы связи WSS (WebSocket Secure) для зашифрованных взаимодействий C2.
- Новый метод сохранения, использующий обработчики сигналов SIGINT и SIGTERM, позволяющий вредоносному ПО переустанавливать себя после завершения работы или перезагрузки системы.
Эти функции позволяют ему оставаться незаметным и устойчивым к сбоям, инициированным обычными пользователями или системой.
Цепочка атак, основанная на социальной инженерии
Атака начинается с применения стратегии социальной инженерии:
- С жертвами связываются через такие платформы, как Telegram, и заманивают их в планировщик конференций Zoom с помощью Calendly.
- Они получают поддельное электронное письмо со скриптом обновления Zoom SDK, якобы для обеспечения совместимости с программным обеспечением для видеоконференций.
Это приводит к выполнению вредоносного AppleScript, который загружает скрипт второго этапа с удаленного сервера, перенаправляя пользователя на легитимную ссылку Zoom. Скрипт второго этапа извлекает ZIP-архивы, содержащие:
- Двоичные файлы для установления персистентности
- Bash-скрипты для кражи системных данных
Роль InjectWithDyldArm64
В основе процесса заражения лежит загрузчик C++, известный как InjectWithDyldArm64 или просто InjectWithDyld. Этот компонент имеет решающее значение для эффективного и скрытного развертывания вредоносного ПО. Он начинается с расшифровки двух встроенных двоичных файлов, один из которых называется «Target», а другой — «trojan1_arm64». После расшифровки он приступает к запуску процесса Target в приостановленном состоянии. Когда процесс приостановлен, загрузчик внедряет в него двоичный файл trojan1_arm64, а затем возобновляет выполнение. Этот метод позволяет доставлять и активировать вредоносные полезные нагрузки очень скрытным образом, обходя стандартные средства защиты системы и сводя к минимуму вероятность обнаружения.
Кража учетных данных и наблюдение за системой
После активации вредоносная программа устанавливает соединение с удаленным сервером Command-and-Control (C2), что позволяет ей выполнять несколько вредоносных операций. К ним относятся сбор подробной системной информации, выполнение произвольных команд, отданных удаленно, навигация по различным каталогам и передача результатов этих действий обратно злоумышленнику.
Угроза усиливается с участием компонента trojan1_arm64, который усиливает атаку, извлекая еще две полезные нагрузки из инфраструктуры C2. Эти полезные нагрузки созданы специально для сбора конфиденциальной информации. Их основными целями являются учетные данные для входа, хранящиеся в широко используемых веб-браузерах - Arc, Brave, Chrome, Edge и Firefox, а также пользовательские данные из приложения для обмена сообщениями Telegram.
Механизмы устойчивости
Помимо своих основных компонентов, вредоносная программа также развертывает исполняемые файлы на основе Nim, которые активируют модуль, известный как CoreKitAgent. Этот модуль играет важную роль в обеспечении устойчивости вредоносной программы, отслеживая любые попытки прекратить ее работу. Чтобы поддерживать свое присутствие, она устанавливает специальные обработчики сигналов для SIGINT и SIGTERM, что позволяет ей автоматически перезапускаться, если пользователь или средство безопасности попытается ее остановить. Этот встроенный механизм значительно усиливает устойчивость вредоносной программы.
Атакующие также широко используют AppleScript, используя его не только на начальном этапе заражения, но и на протяжении всей работы вредоносной программы для постоянного мониторинга и контроля. Благодаря этой возможности скриптования вредоносная программа отправляет периодические маяки каждые 30 секунд на жестко закодированные серверы C2, извлекает сведения о текущих запущенных процессах и выполняет новые команды, выданные удаленным субъектом угрозы.
Почему Nim делает вредоносное ПО более опасным
Использование языка программирования Nim дает злоумышленникам заметные преимущества. Способность Nim выполнять функции во время компиляции позволяет им:
- Внедрите сложную логику, которую трудно обнаружить
- Скрыть поток управления внутри двоичных файлов
- Смешивание кода разработчика и кода среды выполнения, что значительно затрудняет анализ
Это приводит к созданию компактных, высокофункциональных двоичных файлов, которые менее заметны для традиционных механизмов обнаружения вредоносных программ.
NimDoor — это суровое напоминание о том, что macOS больше не защищена от современных постоянных угроз. Поскольку северокорейские хакеры теперь нацеливаются на эту платформу, используя развивающиеся методы и менее известные языки программирования, оставаться информированным и бдительным становится важнее, чем когда-либо.
