Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema NimDoor

Zlonamerna programska oprema NimDoor

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

Strokovnjaki za kibernetsko varnost so odkrili novo in prikrito družino zlonamerne programske opreme za macOS, imenovano NimDoor, ki predstavlja resno grožnjo zaradi svojih naprednih tehnik vztrajnosti, prikritih mehanizmov kraje podatkov in sofisticiranih zmogljivosti izogibanja. Ta zlonamerna kampanja se pripisuje severnokorejskim akterjem grožnje, ki ciljajo na sektorja Web3 in kriptovalut.

Severnokorejski hekerji se preusmerjajo na Nim in macOS

Akterji, za katere sumijo, da so povezani s Severno Korejo, zdaj v svojem arzenalu zlonamerne programske opreme uporabljajo programski jezik Nim. To pomeni nenehen razvoj njihovega nabora orodij, saj so prejšnje kampanje uporabljale jezike, kot sta Go in Rust. Nova uporaba jezika Nim kaže na namero po inovacijah, zlasti pri ustvarjanju groženj za več platform, ki jih je težko zaznati in analizirati.

V tej kampanji napadalci ciljajo posebej na organizacije, osredotočene na Web3 in kriptovalute, kar nakazuje na finančno motivirano operacijo z interesom motenja ali infiltracije digitalne finančne infrastrukture.

Zelo nenavadne tehnike macOS-a

NimDoor je še posebej zaskrbljujoč zaradi svojega nekonvencionalnega pristopa k okužbam macOS. Predvsem uporablja:

  • Vbrizgavanje procesov, redka tehnika za zlonamerno programsko opremo macOS, ki grožnji omogoča ugrabitev in manipulacijo legitimnih procesov.
  • Komunikacijski kanali WSS (WebSocket Secure) za šifrirane interakcije C2.
  • Nova metoda vztrajnosti, ki izkorišča obdelovalce signalov SIGINT in SIGTERM, kar omogoča zlonamerno programsko opremo, da se ponovno namesti, ko je sistem prekinjen ali ponovni zagon sistema.

Zaradi teh lastnosti je neopazen in odporen na običajne motnje, ki jih sprožijo uporabniki ali sistem.

Napadalna veriga, ki jo poganja socialni inženiring

Napad se začne s strategijo socialnega inženiringa:

  • Žrtve kontaktirajo prek platform, kot je Telegram, in jih zvabijo, da z uporabo Calendlyja načrtujejo sestanek Zoom.
  • Prejmejo lažno e-pošto s skriptom za posodobitev Zoom SDK, ki naj bi zagotavljal združljivost s programsko opremo za videokonference.

To vodi do izvajanja zlonamernega skripta AppleScript, ki prenese skript druge stopnje z oddaljenega strežnika, medtem ko uporabnika preusmeri na legitimno povezavo Zoom. Skript druge stopnje izvleče arhive ZIP, ki vsebujejo:

  • Binarne datoteke za vzpostavitev vztrajnosti
  • Bash skripti za krajo sistemskih podatkov

Vloga InjectWithDyldArm64

V središču procesa okužbe je nalagalnik C++, znan kot InjectWithDyldArm64 ali preprosto InjectWithDyld. Ta komponenta je ključna za učinkovito in prikrito namestitev zlonamerne programske opreme. Začne se z dešifriranjem dveh vgrajenih binarnih datotek, ene z imenom »Target« in druge »trojan1_arm64«. Po dešifriranju se proces Target zažene v zaustavljenem stanju. Ko je proces zaustavljen, nalagalnik vanj vbrizga binarno datoteko trojan1_arm64 in nato nadaljuje z izvajanjem. Ta metoda omogoča, da se zlonamerni koristni tovor dostavi in aktivira na zelo prikrit način, s čimer se zaobide standardna sistemska obramba in zmanjša možnost odkritja.

Kraja poverilnic in nadzor sistema

Ko je zlonamerna programska oprema aktivna, vzpostavi povezavo z oddaljenim strežnikom Command-and-Control (C2), kar ji omogoča izvajanje več zlonamernih operacij. Te vključujejo zbiranje podrobnih sistemskih informacij, izvajanje poljubnih ukazov, izdanih na daljavo, navigacijo po različnih imenikih in posredovanje rezultatov teh dejanj nazaj napadalcu.

Grožnja se stopnjuje z vključitvijo komponente trojan1_arm64, ki napad okrepi s pridobivanjem dveh dodatnih koristnih podatkov iz infrastrukture C2. Ti koristni podatki so izdelani posebej za zbiranje občutljivih informacij. Njihovi primarni cilji so prijavne podatke, shranjene v pogosto uporabljenih spletnih brskalnikih – Arc, Brave, Chrome, Edge in Firefox, ter uporabniški podatki iz aplikacije za sporočanje Telegram.

Mehanizmi vztrajnosti

Poleg svojih primarnih komponent zlonamerna programska oprema uporablja tudi izvedljive datoteke, ki temeljijo na Nimu in aktivirajo modul, znan kot CoreKitAgent. Ta modul igra ključno vlogo pri zagotavljanju odpornosti zlonamerne programske opreme, saj spremlja morebitne poskuse prekinitve njenega delovanja. Da bi ohranila svojo prisotnost, namesti prilagojene upravljalnike signalov za SIGINT in SIGTERM, kar ji omogoča samodejni ponovni zagon, če jo uporabnik ali varnostno orodje poskuša zaustaviti. Ta vgrajeni mehanizem znatno okrepi obstojnost zlonamerne programske opreme.

Napadalci tudi intenzivno uporabljajo AppleScript, ki ga izkoriščajo ne le med začetno fazo okužbe, temveč tudi skozi celotno delovanje zlonamerne programske opreme za stalno spremljanje in nadzor. S to zmožnostjo skriptanja zlonamerna programska oprema vsakih 30 sekund pošilja periodične signale na trdo kodirane strežnike C2, pridobiva podrobnosti o trenutno delujočih procesih in izvaja nove ukaze, ki jih izda oddaljeni akter grožnje.

Zakaj Nim naredi zlonamerno programsko opremo bolj nevarno

Uporaba programskega jezika Nim daje napadalcem opazne prednosti. Nimova sposobnost izvajanja funkcij med prevajanjem jim omogoča:

  • Vdelava kompleksne logike, ki jo je težko zaznati
  • Zameglitev pretoka nadzora znotraj binarnih datotek
  • Prepletanje razvijalske in izvajalne kode, kar znatno oteži analizo

To vodi do kompaktnih, visoko delujočih binarnih datotek z zmanjšano vidnostjo za tradicionalne mehanizme za odkrivanje zlonamerne programske opreme.

NimDoor je oster opomin, da macOS ni več imun na napredne trdovratne grožnje. Ker severnokorejski akterji zdaj napadajo to platformo z uporabo razvijajočih se tehnik in manj znanih programskih jezikov, je obveščenost in budnost pomembnejša kot kdaj koli prej.

V trendu

Najbolj gledan

Nalaganje...