Шкідливе програмне забезпечення NimDoor
Фахівці з кібербезпеки виявили нове та приховане сімейство шкідливих програм для macOS під назвою NimDoor, яке становить серйозну загрозу через свої передові методи стійкості, приховані механізми крадіжки даних та складні можливості ухилення. Цю шкідливу кампанію приписують пов'язаним з Північною Кореєю зловмисникам, які націлені на сектори Web3 та криптовалют.
Зміст
Північнокорейські хакери переходять на Nim та macOS
Зловмисники, яких підозрюють у зв'язках з Північною Кореєю, зараз використовують мову програмування Nim у своєму арсеналі шкідливих програм. Це знаменує собою постійну еволюцію їхнього інструментарію, оскільки в попередніх кампаніях використовувалися такі мови, як Go та Rust. Нове використання Nim демонструє намір впроваджувати інновації, особливо у створенні кросплатформних загроз, які важко виявити та проаналізувати.
У цій кампанії зловмисники цілеспрямовано атакують організації, що працюють на Web3 та криптовалюті, що свідчить про фінансово мотивовану операцію, зацікавлену в порушенні або проникненні в інфраструктуру цифрових фінансів.
Дуже незвичайні методи macOS
Особливе занепокоєння NimDoor викликає його нетрадиційний підхід до зараження macOS. Найбільш помітним є використання:
- Впровадження в процеси, рідкісний метод для шкідливого програмного забезпечення macOS, що дозволяє загрозі захоплювати та маніпулювати легітимними процесами.
- Канали зв'язку WSS (WebSocket Secure) для зашифрованих взаємодій C2.
- Новий метод персистентності, який використовує обробники сигналів SIGINT та SIGTERM, дозволяючи шкідливому програмному забезпеченню перевстановлюватися після завершення роботи або перезавантаження системи.
Ці функції дозволяють йому залишатися непомітним та стійким до збоїв, ініційованих з боку звичайних користувачів або системою.
Ланцюг атак, що підживлюється соціальною інженерією
Атака починається зі стратегії соціальної інженерії:
- З жертвами зв'язуються через такі платформи, як Telegram, і їх заманюють запланувати зустріч у Zoom за допомогою Calendly.
- Вони отримують фальшивий електронний лист зі скриптом оновлення Zoom SDK, нібито для забезпечення сумісності з програмним забезпеченням для відеоконференцій.
Це призводить до виконання шкідливого AppleScript, який завантажує скрипт другого етапу з віддаленого сервера, перенаправляючи користувача на легітимне посилання Zoom. Скрипт другого етапу витягує ZIP-архіви, що містять:
- Бінарні файли для встановлення стійкості
- Bash-скрипти для крадіжки системних даних
Роль InjectWithDyldArm64
В основі процесу зараження лежить завантажувач C++, відомий як InjectWithDyldArm64, або просто InjectWithDyld. Цей компонент має вирішальне значення для ефективного та прихованого розгортання шкідливого програмного забезпечення. Він починається з розшифрування двох вбудованих бінарних файлів, один з яких називається «Target», а інший — «trojan1_arm64». Після розшифрування він запускає процес Target у призупиненому стані. Коли процес призупинено, завантажувач вводить у нього бінарний файл trojan1_arm64, а потім відновлює його виконання. Цей метод дозволяє доставляти та активувати шкідливі корисні навантаження дуже приховано, обходячи стандартні засоби захисту системи та мінімізуючи ймовірність виявлення.
Крадіжка облікових даних та системний стеження
Після активації шкідливе програмне забезпечення встановлює з’єднання з віддаленим сервером командування та управління (C2), що дозволяє йому виконувати кілька шкідливих операцій. До них належать збір детальної системної інформації, виконання довільних команд, виданих віддалено, навігація по різних каталогах та передача результатів цих дій назад зловмиснику.
Загроза посилюється за участю компонента trojan1_arm64, який посилює атаку, витягуючи ще два корисні навантаження з інфраструктури C2. Ці корисні навантаження створені спеціально для збору конфіденційної інформації. Їхніми основними цілями є облікові дані для входу, що зберігаються в широко використовуваних веббраузерах – Arc, Brave, Chrome, Edge та Firefox, а також дані користувачів із месенджера Telegram.
Механізми стійкості
Окрім основних компонентів, шкідливе програмне забезпечення також розгортає виконувані файли на базі Nim, які активують модуль під назвою CoreKitAgent. Цей модуль відіграє вирішальну роль у забезпеченні стійкості шкідливого програмного забезпечення, відстежуючи будь-які спроби припинити його роботу. Щоб підтримувати свою присутність, воно встановлює спеціальні обробники сигналів для SIGINT та SIGTERM, що дозволяє йому автоматично перезапускатися, якщо користувач або інструмент безпеки намагається його вимкнути. Цей вбудований механізм значно посилює стійкість шкідливого програмного забезпечення.
Зловмисники також широко використовують AppleScript, застосовуючи його не лише на початковій фазі зараження, але й протягом усієї роботи шкідливого програмного забезпечення для постійного моніторингу та контролю. Завдяки цій можливості написання сценаріїв шкідливе програмне забезпечення періодично надсилає маяки кожні 30 секунд на жорстко закодовані сервери C2, витягує інформацію про запущені процеси та виконує нові команди, видані віддаленим зловмисником.
Чому Nim робить шкідливе програмне забезпечення небезпечнішим
Використання мови програмування Nim дає зловмисникам помітні переваги. Здатність Nim виконувати функції під час компіляції дозволяє їм:
- Вбудовуйте складну логіку, яку важко виявити
- Заплутати потік керування в бінарних файлах
- Змішування коду розробника та середовища виконання, що значно ускладнює аналіз
Це призводить до компактних, високофункціональних бінарних файлів зі зниженою видимістю для традиційних механізмів виявлення шкідливих програм.
NimDoor — це яскраве нагадування про те, що macOS більше не застрахований від складних постійних загроз. Оскільки північнокорейські актори тепер атакують цю платформу, використовуючи методи, що розвиваються, та менш відомі мови програмування, бути поінформованим та пильним зараз важливіше, ніж будь-коли.
