Škodlivý softvér NimDoor

Odborníci v oblasti kybernetickej bezpečnosti odhalili novú a nenápadnú rodinu malvéru pre macOS s názvom NimDoor, ktorá predstavuje vážnu hrozbu kvôli svojim pokročilým technikám perzistencie, nenápadným mechanizmom krádeže údajov a sofistikovaným možnostiam úniku. Táto škodlivá kampaň sa pripisuje aktérom hrozbám spojeným so Severnou Kóreou, ktorí sa zameriavajú na sektory Web3 a kryptomien.

Severokórejskí hackeri sa uchyľujú k Nim a macOS

Aktéri hrozby, u ktorých sa predpokladá prepojenie so Severnou Kóreou, teraz využívajú programovací jazyk Nim vo svojom arzenáli malvéru. Ide o neustály vývoj v ich sade nástrojov, keďže predchádzajúce kampane využívali jazyky ako Go a Rust. Nové použitie jazyka Nim ukazuje zámer inovovať, najmä pri vytváraní multiplatformových hrozieb, ktoré je ťažké odhaliť a analyzovať.

V tejto kampani útočníci cielene útočia na organizácie zamerané na Web3 a kryptomeny, čo naznačuje finančne motivovanú operáciu so záujmom o narušenie alebo infiltráciu infraštruktúry digitálnych financií.

Veľmi nezvyčajné techniky v systéme macOS

NimDoor je obzvlášť znepokojujúci kvôli svojmu nekonvenčnému prístupu k infikovaniu macOS. Najdôležitejšie je, že používa:

• Vstrekovanie procesov, čo je zriedkavá technika pre malvér v systéme macOS, ktorá umožňuje hrozbe uniesť a manipulovať s legitímnymi procesmi.
• Komunikačné kanály WSS (WebSocket Secure) pre šifrované interakcie C2.
• Nová metóda perzistencie, ktorá využíva obslužné programy signálov SIGINT a SIGTERM, čo umožňuje malvéru opätovnú inštaláciu po ukončení alebo reštarte systému.

Vďaka týmto funkciám si systém udržiava nenápadnosť a odolnosť voči bežným narušeniam spôsobeným používateľmi alebo systémom.

Reťazec útokov podporovaný sociálnym inžinierstvom

Útok začína stratégiou sociálneho inžinierstva:

• Obeťami sa zabezpečí kontakt prostredníctvom platforiem ako Telegram, ktoré sú nalákané na naplánovanie stretnutia cez Zoom pomocou aplikácie Calendly.
• Dostanú falošný e-mail so skriptom na aktualizáciu Zoom SDK, údajne na zabezpečenie kompatibility so softvérom pre videokonferencie.

To vedie k spusteniu škodlivého skriptu AppleScript, ktorý stiahne skript druhej fázy zo vzdialeného servera a zároveň presmeruje používateľa na legitímny odkaz Zoom. Skript druhej fázy extrahuje ZIP archívy obsahujúce:

• Binárne súbory na zabezpečenie perzistencie
• Bash skripty na krádež systémových dát

Úloha InjectWithDyldArm64

Jadrom procesu infekcie je zavádzač C++ známy ako InjectWithDyldArm64 alebo jednoducho InjectWithDyld. Táto súčasť je kľúčová pre efektívne a skryté nasadenie malvéru. Začína dešifrovaním dvoch vložených binárnych súborov, jedného s názvom „Target“ a druhého „trojan1_arm64“. Po dešifrovaní spustí proces Target v pozastavenom stave. Keď je proces pozastavený, zavádzač doň vloží binárny súbor trojan1_arm64 a potom obnoví jeho vykonávanie. Táto metóda umožňuje doručenie a aktiváciu škodlivého softvéru veľmi nenápadným spôsobom, obchádza štandardné systémové obranné mechanizmy a minimalizuje šancu na odhalenie.

Krádež poverení a sledovanie systému

Po aktivácii sa malvér spája so vzdialeným serverom Command-and-Control (C2), čo mu umožňuje vykonávať niekoľko škodlivých operácií. Patria sem zhromažďovanie podrobných systémových informácií, vykonávanie ľubovoľných príkazov vydaných na diaľku, navigácia v rôznych adresároch a prenos výsledkov týchto akcií späť útočníkovi.

Hrozba sa stupňuje zapojením komponentu trojan1_arm64, ktorý zosilňuje útok získaním dvoch ďalších dát z infraštruktúry C2. Tieto dáta sú vytvorené špeciálne na zhromažďovanie citlivých informácií. Ich primárnym cieľom sú prihlasovacie údaje uložené v bežne používaných webových prehliadačoch – Arc, Brave, Chrome, Edge a Firefox, ako aj používateľské údaje z aplikácie na odosielanie správ Telegram.

Mechanizmy perzistencie

Okrem svojich primárnych komponentov malvér tiež nasadzuje spustiteľné súbory založené na Nim, ktoré aktivujú modul známy ako CoreKitAgent. Tento modul zohráva kľúčovú úlohu pri zabezpečovaní odolnosti malvéru monitorovaním akýchkoľvek pokusov o ukončenie jeho činnosti. Aby si udržal svoju prítomnosť, inštaluje vlastné obslužné programy signálov pre SIGINT a SIGTERM, čo mu umožňuje automaticky sa reštartovať, ak sa ho používateľ alebo bezpečnostný nástroj pokúsi vypnúť. Tento vstavaný mechanizmus výrazne posilňuje odolnosť malvéru.

Útočníci tiež vo veľkej miere využívajú AppleScript, a to nielen počas počiatočnej fázy infekcie, ale aj počas celej prevádzky malvéru na priebežné monitorovanie a kontrolu. Prostredníctvom tejto skriptovacej schopnosti malvér pravidelne odosiela signály beacon každých 30 sekúnd na pevne zakódované servery C2, získava podrobnosti o aktuálne spustených procesoch a vykonáva nové príkazy vydané vzdialeným útočníkom.

Prečo Nim robí malvér nebezpečnejším

Použitie programovacieho jazyka Nim poskytuje útočníkom značné výhody. Schopnosť Nimu spúšťať funkcie počas kompilácie im umožňuje:

• Vložte zložitú logiku, ktorú je ťažké odhaliť
• Zahmlievať tok riadenia v binárnych súboroch
• Premiešanie vývojárskeho a runtime kódu, čo výrazne sťažuje analýzu

To vedie ku kompaktným, vysoko funkčným binárnym súborom so zníženou viditeľnosťou pre tradičné nástroje na detekciu škodlivého softvéru.

NimDoor je drsnou pripomienkou toho, že macOS už nie je imúnny voči pokročilým pretrvávajúcim hrozbám. Keďže severokórejskí aktéri teraz útočia na túto platformu pomocou vyvíjajúcich sa techník a menej známych programovacích jazykov, je informovanosť a ostražitosť dôležitejšia ako kedykoľvek predtým.