నిమ్‌డోర్ మాల్వేర్

సైబర్ సెక్యూరిటీ నిపుణులు నిమ్‌డోర్ అని పిలువబడే కొత్త మరియు రహస్యమైన మాకోస్ మాల్వేర్ కుటుంబాన్ని కనుగొన్నారు, ఇది దాని అధునాతన నిలకడ పద్ధతులు, రహస్య డేటా దొంగతనం విధానాలు మరియు అధునాతన ఎగవేత సామర్థ్యాల కారణంగా తీవ్రమైన ముప్పును కలిగిస్తుంది. ఈ హానికరమైన ప్రచారం Web3 మరియు క్రిప్టోకరెన్సీ రంగాలను లక్ష్యంగా చేసుకున్న ఉత్తర కొరియా-సమలేఖన బెదిరింపు నటులచే ఆపాదించబడింది.

ఉత్తర కొరియా హ్యాకర్లు నిమ్ మరియు మాకోస్‌లకు పివోట్ చేస్తారు

ఉత్తర కొరియాతో సంబంధం ఉన్నట్లు అనుమానించబడిన బెదిరింపు సంస్థలు ఇప్పుడు తమ మాల్వేర్ ఆయుధశాలలో నిమ్ ప్రోగ్రామింగ్ భాషను ఉపయోగిస్తున్నాయి. ఇది వారి టూల్‌కిట్‌లో కొనసాగుతున్న పరిణామాన్ని సూచిస్తుంది, మునుపటి ప్రచారాలు గో మరియు రస్ట్ వంటి భాషలను ఉపయోగించాయి. నిమ్ యొక్క కొత్త ఉపయోగం ముఖ్యంగా గుర్తించడం మరియు విశ్లేషించడం కష్టతరమైన క్రాస్-ప్లాట్‌ఫారమ్ ముప్పులను రూపొందించడంలో ఆవిష్కరణల ఉద్దేశ్యాన్ని చూపుతుంది.

ఈ ప్రచారంలో, దాడి చేసేవారు ప్రత్యేకంగా Web3 మరియు క్రిప్టోకరెన్సీ-కేంద్రీకృత సంస్థలను వెంబడిస్తారు, డిజిటల్ ఫైనాన్స్ మౌలిక సదుపాయాలను అంతరాయం కలిగించడం లేదా చొరబడటంలో ఆసక్తితో ఆర్థికంగా ప్రేరేపించబడిన ఆపరేషన్‌ను సూచిస్తున్నారు.

అత్యంత అసాధారణమైన macOS టెక్నిక్‌లు

MacOS ఇన్ఫెక్షన్‌కు దాని అసాధారణ విధానం NimDoor ను ప్రత్యేకంగా ఆందోళనకు గురి చేస్తుంది. ముఖ్యంగా, ఇది వీటిని ఉపయోగిస్తుంది:

• ప్రాసెస్ ఇంజెక్షన్, మాకోస్ మాల్వేర్ కోసం ఒక అరుదైన టెక్నిక్, ఇది చట్టబద్ధమైన ప్రక్రియలను హైజాక్ చేయడానికి మరియు మార్చటానికి ముప్పును అనుమతిస్తుంది.
• ఎన్‌క్రిప్టెడ్ C2 పరస్పర చర్యల కోసం WSS (వెబ్‌సాకెట్ సెక్యూర్) కమ్యూనికేషన్ ఛానెల్‌లు.
• SIGINT మరియు SIGTERM సిగ్నల్ హ్యాండ్లర్‌లను ప్రభావితం చేసే ఒక కొత్త పెర్సిస్టెన్స్ పద్ధతి, మాల్వేర్ నిలిపివేయబడినప్పుడు లేదా సిస్టమ్ రీబూట్ చేయబడినప్పుడు తనను తాను తిరిగి ఇన్‌స్టాల్ చేసుకోవడానికి అనుమతిస్తుంది.

ఈ లక్షణాలు తక్కువ ప్రొఫైల్‌ను నిర్వహించడానికి మరియు సాధారణ వినియోగదారు లేదా సిస్టమ్-ప్రారంభించిన అంతరాయాలకు వ్యతిరేకంగా స్థితిస్థాపకంగా ఉండటానికి వీలు కల్పిస్తాయి.

సోషల్ ఇంజనీరింగ్-ఇంధన దాడి గొలుసు

ఈ దాడి సోషల్ ఇంజనీరింగ్ వ్యూహంతో ప్రారంభమవుతుంది:

• టెలిగ్రామ్ వంటి ప్లాట్‌ఫారమ్‌ల ద్వారా బాధితులను సంప్రదిస్తారు మరియు క్యాలెండ్లీని ఉపయోగించి జూమ్ సమావేశాన్ని షెడ్యూల్ చేయమని ఆకర్షిస్తారు.
• వీడియో కాన్ఫరెన్సింగ్ సాఫ్ట్‌వేర్‌తో అనుకూలతను నిర్ధారించుకోవడానికి వారికి జూమ్ SDK అప్‌డేట్ స్క్రిప్ట్‌తో నకిలీ ఇమెయిల్ వస్తుంది.

ఇది హానికరమైన AppleScript అమలుకు దారితీస్తుంది, ఇది వినియోగదారుని చట్టబద్ధమైన జూమ్ లింక్‌కు దారి మళ్లిస్తూ రిమోట్ సర్వర్ నుండి రెండవ-దశ స్క్రిప్ట్‌ను డౌన్‌లోడ్ చేస్తుంది. రెండవ-దశ స్క్రిప్ట్ వీటిని కలిగి ఉన్న ZIP ఆర్కైవ్‌లను సంగ్రహిస్తుంది:

• నిలకడను స్థాపించడానికి బైనరీలు
• సిస్టమ్ డేటాను దొంగిలించడానికి బాష్ స్క్రిప్ట్‌లు

ఇంజెక్ట్ విత్ డైల్డ్ ఆర్మ్64 పాత్ర

ఇన్ఫెక్షన్ ప్రక్రియ యొక్క గుండె వద్ద InjectWithDyldArm64 లేదా InjectWithDyld అని పిలువబడే C++ లోడర్ ఉంది. ఈ భాగం మాల్వేర్‌ను సమర్థవంతంగా మరియు రహస్యంగా అమలు చేయడానికి చాలా ముఖ్యమైనది. ఇది రెండు ఎంబెడెడ్ బైనరీలను డీక్రిప్ట్ చేయడం ద్వారా ప్రారంభమవుతుంది, ఒకటి 'టార్గెట్' మరియు మరొకటి 'ట్రోజన్1_ఆర్మ్64'. డీక్రిప్ట్ చేసిన తర్వాత, ఇది టార్గెట్ ప్రాసెస్‌ను సస్పెండ్ చేయబడిన స్థితిలో ప్రారంభిస్తుంది. ప్రక్రియ పాజ్ చేయబడిన తర్వాత, లోడర్ దానిలోకి ట్రోజన్1_ఆర్మ్64 బైనరీని ఇంజెక్ట్ చేసి, ఆపై అమలును తిరిగి ప్రారంభిస్తుంది. ఈ పద్ధతి హానికరమైన పేలోడ్‌లను అత్యంత రహస్య పద్ధతిలో డెలివరీ చేయడానికి మరియు సక్రియం చేయడానికి అనుమతిస్తుంది, ప్రామాణిక సిస్టమ్ రక్షణలను దాటవేసి, గుర్తించే అవకాశాన్ని తగ్గిస్తుంది.

ఆధారాల దొంగతనం మరియు వ్యవస్థ నిఘా

ఒకసారి యాక్టివ్ అయిన తర్వాత, మాల్వేర్ రిమోట్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కనెక్షన్‌ను ఏర్పరుస్తుంది, ఇది అనేక హానికరమైన కార్యకలాపాలను నిర్వహించడానికి అనుమతిస్తుంది. వీటిలో వివరణాత్మక సిస్టమ్ సమాచారాన్ని సేకరించడం, రిమోట్‌గా జారీ చేయబడిన ఏకపక్ష ఆదేశాలను అమలు చేయడం, వివిధ డైరెక్టరీల ద్వారా నావిగేట్ చేయడం మరియు ఈ చర్యల ఫలితాలను దాడి చేసేవారికి తిరిగి ప్రసారం చేయడం వంటివి ఉన్నాయి.

trojan1_arm64 భాగం ప్రమేయంతో ముప్పు పెరుగుతుంది, ఇది C2 మౌలిక సదుపాయాల నుండి మరో రెండు పేలోడ్‌లను తిరిగి పొందడం ద్వారా దాడిని పెంచుతుంది. సున్నితమైన సమాచారాన్ని సేకరించడానికి ఈ పేలోడ్‌లు ప్రత్యేకంగా రూపొందించబడ్డాయి. విస్తృతంగా ఉపయోగించే వెబ్ బ్రౌజర్‌లలో నిల్వ చేయబడిన లాగిన్ ఆధారాలు - Arc, Brave, Chrome, Edge మరియు Firefox, అలాగే Telegram మెసేజింగ్ అప్లికేషన్ నుండి వినియోగదారు డేటా - వీటి ప్రాథమిక లక్ష్యాలు.

పెర్సిస్టెన్స్ మెకానిజమ్స్

దాని ప్రాథమిక భాగాలకు మించి, మాల్వేర్ CoreKitAgent అని పిలువబడే మాడ్యూల్‌ను సక్రియం చేసే Nim-ఆధారిత ఎక్జిక్యూటబుల్‌లను కూడా అమలు చేస్తుంది. ఈ మాడ్యూల్ దాని ఆపరేషన్‌ను ముగించే ఏవైనా ప్రయత్నాలను పర్యవేక్షించడం ద్వారా మాల్వేర్ యొక్క స్థితిస్థాపకతను నిర్ధారించడంలో కీలక పాత్ర పోషిస్తుంది. దాని ఉనికిని కొనసాగించడానికి, ఇది SIGINT మరియు SIGTERM కోసం కస్టమ్ సిగ్నల్ హ్యాండ్లర్‌లను ఇన్‌స్టాల్ చేస్తుంది, వినియోగదారు లేదా భద్రతా సాధనం దానిని మూసివేయడానికి ప్రయత్నిస్తే స్వయంచాలకంగా తిరిగి ప్రారంభించడానికి అనుమతిస్తుంది. ఈ అంతర్నిర్మిత యంత్రాంగం మాల్వేర్ యొక్క నిలకడను గణనీయంగా బలపరుస్తుంది.

దాడి చేసేవారు AppleScriptను విస్తృతంగా ఉపయోగించుకుంటారు, ప్రారంభ ఇన్ఫెక్షన్ దశలోనే కాకుండా కొనసాగుతున్న పర్యవేక్షణ మరియు నియంత్రణ కోసం మాల్వేర్ ఆపరేషన్ అంతటా కూడా దీనిని ఉపయోగించుకుంటారు. ఈ స్క్రిప్టింగ్ సామర్థ్యం ద్వారా, మాల్వేర్ ప్రతి 30 సెకన్లకు హార్డ్-కోడెడ్ C2 సర్వర్‌లకు ఆవర్తన బీకాన్‌లను పంపుతుంది, ప్రస్తుతం నడుస్తున్న ప్రక్రియల గురించి వివరాలను తొలగిస్తుంది మరియు రిమోట్ థ్రెట్ యాక్టర్ జారీ చేసిన కొత్త ఆదేశాలను అమలు చేస్తుంది.

నిమ్ మాల్వేర్‌ను ఎందుకు మరింత ప్రమాదకరంగా మారుస్తుంది

Nim ప్రోగ్రామింగ్ భాష వాడకం దాడి చేసేవారికి గుర్తించదగిన ప్రయోజనాలను ఇస్తుంది. కంపైల్ సమయంలో ఫంక్షన్‌లను అమలు చేయగల Nim సామర్థ్యం వారికి వీటిని అనుమతిస్తుంది:

• గుర్తించడం కష్టతరమైన సంక్లిష్ట తర్కాన్ని పొందుపరచండి
• బైనరీలలోని నియంత్రణ ప్రవాహాన్ని అస్పష్టం చేయండి
• డెవలపర్ మరియు రన్‌టైమ్ కోడ్‌ను కలిపి, విశ్లేషణను గణనీయంగా కష్టతరం చేస్తుంది

ఇది సాంప్రదాయ మాల్వేర్ గుర్తింపు ఇంజిన్‌లకు తగ్గిన దృశ్యమానతతో కాంపాక్ట్, అధిక-పనితీరు గల బైనరీలకు దారితీస్తుంది.

మాకోస్ ఇకపై అధునాతన నిరంతర ముప్పులకు అతీతం కాదని నిమ్‌డోర్ ఒక స్పష్టమైన గుర్తు. ఉత్తర కొరియా నటులు ఇప్పుడు అభివృద్ధి చెందుతున్న పద్ధతులు మరియు తక్కువ తెలిసిన ప్రోగ్రామింగ్ భాషలను ఉపయోగించి ఈ ప్లాట్‌ఫామ్‌ను లక్ష్యంగా చేసుకుంటున్నందున, సమాచారం మరియు అప్రమత్తంగా ఉండటం గతంలో కంటే చాలా ముఖ్యం.