NimDoor Malware

Natuklasan ng mga propesyonal sa cybersecurity ang isang bago at palihim na pamilya ng macOS malware na tinawag na NimDoor, na nagdudulot ng malubhang banta dahil sa mga advanced na diskarte sa pagtitiyaga, mga mekanismo ng palihim na pagnanakaw ng data, at mga sopistikadong kakayahan sa pag-iwas. Ang nakakahamak na kampanyang ito ay nauugnay sa mga aktor ng pagbabanta na nakahanay sa North Korean na nagta-target sa mga sektor ng Web3 at cryptocurrency.

Nag-pivot ang North Korean Hackers sa Nim at macOS

Ginagamit na ngayon ng mga banta na aktor na pinaghihinalaang nauugnay sa North Korea ang Nim programming language sa kanilang malware arsenal. Ito ay nagmamarka ng patuloy na ebolusyon sa kanilang toolkit, kasama ang mga nakaraang kampanya na gumagamit ng mga wika tulad ng Go at Rust. Ang bagong paggamit ng Nim ay nagpapakita ng layuning mag-innovate, lalo na sa paggawa ng mga banta sa cross-platform na mahirap makita at suriin.

Sa campaign na ito, partikular na hinahabol ng mga umaatake ang Web3 at mga organisasyong nakatuon sa cryptocurrency, na nagmumungkahi ng operasyong may motibasyon sa pananalapi na may interes sa pag-abala o paglusot sa digital finance infrastructure.

Lubos na Hindi Karaniwang Mga Teknik ng macOS

Ang partikular na nababahala sa NimDoor ay ang hindi kinaugalian na diskarte nito sa impeksyon sa macOS. Kapansin-pansin, ginagamit nito ang:

• Process injection, isang bihirang pamamaraan para sa macOS malware, na nagpapahintulot sa banta na i-hijack at manipulahin ang mga lehitimong proseso.
• Mga channel ng komunikasyon sa WSS (WebSocket Secure) para sa mga naka-encrypt na pakikipag-ugnayan sa C2.
• Isang bagong paraan ng pagpupursige na gumagamit ng SIGINT at SIGTERM signal handler, na nagpapahintulot sa malware na muling i-install ang sarili nito kapag winakasan o sa pag-reboot ng system.

Ang mga feature na ito ay nagbibigay-daan dito upang mapanatili ang isang mababang profile at manatiling nababanat laban sa karaniwang user o mga pagkagambala na pinasimulan ng system.

Social Engineering-Fueled Attack Chain

Nagsisimula ang pag-atake sa isang diskarte sa social engineering:

• Ang mga biktima ay nakikipag-ugnayan sa pamamagitan ng mga platform tulad ng Telegram at naakit sa pag-iskedyul ng Zoom meeting gamit ang Calendly.
• Nakatanggap sila ng pekeng email na may script ng pag-update ng Zoom SDK, para matiyak ang pagiging tugma sa software ng videoconferencing.

Ito ay humahantong sa pagpapatupad ng isang malisyosong AppleScript, na nagda-download ng pangalawang yugto ng script mula sa isang malayuang server habang nire-redirect ang user sa isang lehitimong link ng Zoom. Kinukuha ng script ng pangalawang yugto ang mga ZIP archive na naglalaman ng:

• Binary para sa pagtatatag ng pagtitiyaga
• Bash script para sa pagnanakaw ng data ng system

Ang Papel ng InjectWithDyldArm64

Sa gitna ng proseso ng impeksyon ay isang C++ loader na kilala bilang InjectWithDyldArm64, o simpleng InjectWithDyld. Ang bahaging ito ay mahalaga para sa pag-deploy ng malware nang epektibo at patago. Nagsisimula ito sa pamamagitan ng pag-decryption ng dalawang naka-embed na binary, ang isa ay pinangalanang 'Target' at ang isa ay 'trojan1_arm64.' Pagkatapos ng decryption, magpapatuloy ito upang ilunsad ang Target na proseso sa isang suspendido na estado. Kapag naka-pause ang proseso, ini-inject ng loader ang trojan1_arm64 binary dito at pagkatapos ay ipagpatuloy ang pagpapatupad. Ang pamamaraang ito ay nagbibigay-daan sa mga nakakahamak na payload na maihatid at maisaaktibo sa isang napakalihim na paraan, na nilalampasan ang mga karaniwang depensa ng system at pinaliit ang pagkakataong matukoy.

Pagnanakaw ng Kredensyal at Pagsubaybay sa System

Kapag aktibo na, ang malware ay nagtatatag ng koneksyon sa isang remote na Command-and-Control (C2) server, na nagbibigay-daan dito na magsagawa ng ilang malisyosong operasyon. Kabilang dito ang pagkolekta ng detalyadong impormasyon ng system, pagpapatupad ng mga di-makatwirang utos na inilabas nang malayuan, pag-navigate sa iba't ibang mga direktoryo, at pagpapadala ng mga resulta ng mga pagkilos na ito pabalik sa umaatake.

Lumalaki ang banta sa paglahok ng bahagi ng trojan1_arm64, na nagpapahusay sa pag-atake sa pamamagitan ng pagkuha ng dalawa pang payload mula sa imprastraktura ng C2. Ang mga payload na ito ay partikular na ginawa upang makakuha ng sensitibong impormasyon. Ang kanilang mga pangunahing target ay mga kredensyal sa pag-log in na nakaimbak sa malawakang ginagamit na mga web browser - Arc, Brave, Chrome, Edge, at Firefox, pati na rin ang data ng user mula sa Telegram messaging application.

Mga Mekanismo ng Pagtitiyaga

Higit pa sa mga pangunahing bahagi nito, nag-deploy din ang malware ng mga executable na nakabatay sa Nim na nag-a-activate ng module na kilala bilang CoreKitAgent. Ang module na ito ay gumaganap ng isang mahalagang papel sa pagtiyak ng katatagan ng malware sa pamamagitan ng pagsubaybay para sa anumang mga pagtatangka upang wakasan ang operasyon nito. Upang mapanatili ang presensya nito, nag-i-install ito ng mga custom na tagapangasiwa ng signal para sa SIGINT at SIGTERM, na nagbibigay-daan dito na awtomatikong muling ilunsad kung susubukan ng isang user o tool sa seguridad na isara ito. Ang built-in na mekanismong ito ay makabuluhang nagpapalakas sa pagtitiyaga ng malware.

Malawakang ginagamit din ng mga umaatake ang AppleScript, na ginagamit ito hindi lamang sa paunang yugto ng impeksyon kundi pati na rin sa buong operasyon ng malware para sa patuloy na pagsubaybay at kontrol. Sa pamamagitan ng kakayahan sa pag-script na ito, nagpapadala ang malware ng mga panaka-nakang beacon tuwing 30 segundo sa mga hard-coded na C2 server, naglalabas ng mga detalye tungkol sa kasalukuyang tumatakbong mga proseso, at nagsasagawa ng mga bagong utos na inilabas ng remote threat actor.

Bakit Ginagawang Mas Delikado ni Nim ang Malware

Ang paggamit ng Nim programming language ay nagbibigay sa mga umaatake ng mga kapansin-pansing pakinabang. Ang kakayahan ni Nim na magsagawa ng mga function sa oras ng pag-compile ay nagpapahintulot sa kanila na:

• I-embed ang kumplikadong lohika na mahirap matukoy
• Obfuscate ang daloy ng kontrol sa loob ng mga binary
• Pagsasamahin ang developer at runtime code, na ginagawang mas mahirap ang pagsusuri

Ito ay humahantong sa mga compact, high-functioning binary na may pinababang visibility sa mga tradisyunal na malware detection engine.

Ang NimDoor ay isang malinaw na paalala na ang macOS ay hindi na immune sa mga advanced na patuloy na pagbabanta. Sa ngayon na tina-target ng mga aktor ng North Korea ang platform na ito gamit ang mga umuunlad na diskarte at hindi gaanong kilalang mga programming language, ang pananatiling may kaalaman at mapagbantay ay mas kritikal kaysa dati.