NimDoor Kötü Amaçlı Yazılım

Siber güvenlik uzmanları, gelişmiş kalıcılık teknikleri, gizli veri hırsızlığı mekanizmaları ve karmaşık kaçınma yetenekleri nedeniyle ciddi bir tehdit oluşturan NimDoor adlı yeni ve gizli bir macOS kötü amaçlı yazılım ailesini ortaya çıkardı. Bu kötü amaçlı kampanya, Web3 ve kripto para sektörlerini hedef alan Kuzey Kore bağlantılı tehdit aktörlerine atfediliyor.

Kuzey Koreli Hackerlar Nim ve macOS’a Geçiş Yaptı

Kuzey Kore ile bağlantılı olduğundan şüphelenilen tehdit aktörleri artık kötü amaçlı yazılım cephaneliklerinde Nim programlama dilini kullanıyor. Bu, araç setlerinde devam eden bir evrimi işaret ediyor; önceki kampanyalar Go ve Rust gibi dilleri kullanıyordu. Nim'in yeni kullanımı, özellikle tespit edilmesi ve analiz edilmesi zor olan platformlar arası tehditler oluşturmada yenilik yapma niyetini gösteriyor.

Bu kampanyada saldırganlar, özellikle Web3 ve kripto para odaklı kuruluşları hedef alıyor ve dijital finans altyapısını bozmak veya sızmakla ilgilenen finansal amaçlı bir operasyonun varlığını öne sürüyor.

Son Derece Sıra Dışı macOS Teknikleri

NimDoor'u özellikle endişe verici kılan şey macOS enfeksiyonuna yönelik alışılmadık yaklaşımıdır. En önemlisi, şunları kullanır:

• macOS kötü amaçlı yazılımları için nadir bir teknik olan işlem enjeksiyonu, tehdidin meşru işlemleri ele geçirmesine ve manipüle etmesine olanak tanır.
• Şifreli C2 etkileşimleri için WSS (WebSocket Secure) iletişim kanalları.
• SIGINT ve SIGTERM sinyal işleyicilerinden yararlanan, kötü amaçlı yazılımın sonlandırıldığında veya sistem yeniden başlatıldığında kendini yeniden yüklemesine olanak tanıyan yeni bir kalıcılık yöntemi.

Bu özellikler, düşük profilli kalmasını ve yaygın kullanıcı veya sistem kaynaklı kesintilere karşı dayanıklı kalmasını sağlar.

Sosyal Mühendislik Destekli Saldırı Zinciri

Saldırı sosyal mühendislik stratejisiyle başlıyor:

• Mağdurlarla Telegram gibi platformlar üzerinden iletişime geçiliyor ve Calendly kullanılarak Zoom görüşmesi planlamaları sağlanıyor.
• Video konferans yazılımıyla uyumluluğu garantilemek için gönderildiği iddia edilen Zoom SDK güncelleme betiğini içeren sahte bir e-posta alırlar.

Bu, kullanıcıyı meşru bir Zoom bağlantısına yönlendirirken uzak bir sunucudan ikinci aşama betiğini indiren kötü amaçlı bir AppleScript'in yürütülmesine yol açar. İkinci aşama betiği şunları içeren ZIP arşivlerini çıkarır:

• Kalıcılığı sağlamak için ikili dosyalar
• Sistem verilerini çalmak için bash betikleri

InjectWithDyldArm64’ün Rolü

Enfeksiyon sürecinin merkezinde InjectWithDyldArm64 veya kısaca InjectWithDyld olarak bilinen bir C++ yükleyicisi bulunur. Bu bileşen, kötü amaçlı yazılımı etkili ve gizli bir şekilde dağıtmak için çok önemlidir. İlk olarak, biri 'Target' ve diğeri 'trojan1_arm64' adlı iki gömülü ikili dosyayı şifresini çözerek başlar. Şifre çözüldükten sonra, Target işlemini askıya alınmış bir durumda başlatmaya devam eder. İşlem duraklatıldığında, yükleyici trojan1_arm64 ikili dosyasını içine enjekte eder ve ardından yürütmeyi sürdürür. Bu yöntem, kötü amaçlı yüklerin standart sistem savunmalarını atlatarak ve tespit şansını en aza indirerek son derece gizli bir şekilde iletilmesini ve etkinleştirilmesini sağlar.

Kimlik Hırsızlığı ve Sistem Gözetimi

Etkinleştiğinde, kötü amaçlı yazılım uzak bir Komuta ve Kontrol (C2) sunucusuyla bağlantı kurar ve bu da birkaç kötü amaçlı işlem gerçekleştirmesine olanak tanır. Bunlara ayrıntılı sistem bilgileri toplamak, uzaktan verilen keyfi komutları yürütmek, farklı dizinlerde gezinmek ve bu eylemlerin sonuçlarını saldırgana geri iletmek dahildir.

Tehdit, C2 altyapısından iki yük daha alarak saldırıyı güçlendiren trojan1_arm64 bileşeninin dahil olmasıyla artar. Bu yükler hassas bilgileri toplamak için özel olarak tasarlanmıştır. Birincil hedefleri, yaygın olarak kullanılan web tarayıcılarında (Arc, Brave, Chrome, Edge ve Firefox) depolanan oturum açma kimlik bilgileri ve Telegram mesajlaşma uygulamasından gelen kullanıcı verileridir.

Kalıcılık Mekanizmaları

Birincil bileşenlerinin ötesinde, kötü amaçlı yazılım ayrıca CoreKitAgent olarak bilinen bir modülü etkinleştiren Nim tabanlı yürütülebilir dosyaları da dağıtır. Bu modül, kötü amaçlı yazılımın herhangi bir sonlandırma girişimini izleyerek dayanıklılığını sağlamada kritik bir rol oynar. Varlığını sürdürmek için, SIGINT ve SIGTERM için özel sinyal işleyicileri yükler ve bir kullanıcı veya güvenlik aracı onu kapatmaya çalışırsa otomatik olarak yeniden başlatılmasını sağlar. Bu yerleşik mekanizma, kötü amaçlı yazılımın kalıcılığını önemli ölçüde güçlendirir.

Saldırganlar ayrıca AppleScript'i kapsamlı bir şekilde kullanır ve bunu yalnızca ilk enfeksiyon aşamasında değil, aynı zamanda kötü amaçlı yazılımın çalışması boyunca devam eden izleme ve kontrol için kullanır. Bu betikleme yeteneği sayesinde, kötü amaçlı yazılım sabit kodlu C2 sunucularına her 30 saniyede bir periyodik işaretler gönderir, şu anda çalışan işlemler hakkında ayrıntıları sızdırır ve uzak tehdit aktörü tarafından verilen yeni komutları yürütür.

Nim Neden Kötü Amaçlı Yazılımları Daha Tehlikeli Hale Getiriyor

Nim programlama dilinin kullanımı saldırganlara önemli avantajlar sağlar. Nim'in derleme zamanında işlevleri yürütme yeteneği onlara şunları sağlar:

• Algılanması zor olan karmaşık mantığı yerleştirin
• İkili dosyalar içindeki kontrol akışını gizleyin
• Geliştirici ve çalışma zamanı kodunu birbirine karıştırın, bu da analizi önemli ölçüde zorlaştırır

Bu, geleneksel kötü amaçlı yazılım tespit motorları tarafından daha az görülebilen, kompakt ve yüksek işlevli ikili dosyalara yol açar.

NimDoor, macOS'un artık gelişmiş kalıcı tehditlere karşı bağışık olmadığının çarpıcı bir hatırlatıcısıdır. Kuzey Koreli aktörlerin artık bu platformu gelişen teknikler ve daha az bilinen programlama dilleri kullanarak hedeflemesiyle, bilgili ve tetikte kalmak her zamankinden daha kritiktir.