Phần mềm độc hại NimDoor

Các chuyên gia an ninh mạng đã phát hiện ra một họ phần mềm độc hại macOS mới và bí ẩn có tên là NimDoor, gây ra mối đe dọa nghiêm trọng do các kỹ thuật dai dẳng tiên tiến, cơ chế đánh cắp dữ liệu bí mật và khả năng trốn tránh tinh vi. Chiến dịch độc hại này được cho là do các tác nhân đe dọa liên kết với Triều Tiên nhắm vào các lĩnh vực Web3 và tiền điện tử.

Tin tặc Bắc Triều Tiên chuyển sang Nim và macOS

Các tác nhân đe dọa bị nghi ngờ có liên quan đến Bắc Triều Tiên hiện đang tận dụng ngôn ngữ lập trình Nim trong kho vũ khí phần mềm độc hại của họ. Điều này đánh dấu sự phát triển liên tục trong bộ công cụ của họ, với các chiến dịch trước đó sử dụng các ngôn ngữ như Go và Rust. Việc sử dụng Nim mới cho thấy ý định đổi mới, đặc biệt là trong việc tạo ra các mối đe dọa đa nền tảng khó phát hiện và phân tích.

Trong chiến dịch này, những kẻ tấn công đặc biệt nhắm vào các tổ chức tập trung vào Web3 và tiền điện tử, cho thấy đây là một hoạt động có động cơ tài chính với mục đích phá vỡ hoặc xâm nhập vào cơ sở hạ tầng tài chính kỹ thuật số.

Kỹ thuật macOS cực kỳ bất thường

Điều khiến NimDoor đặc biệt đáng lo ngại là cách tiếp cận không thông thường của nó đối với nhiễm trùng macOS. Đáng chú ý nhất là nó sử dụng:

• Tiêm tiến trình, một kỹ thuật hiếm gặp của phần mềm độc hại trên macOS, cho phép mối đe dọa chiếm đoạt và thao túng các tiến trình hợp pháp.
• Kênh truyền thông WSS (WebSocket Secure) cho các tương tác C2 được mã hóa.
• Một phương pháp duy trì mới tận dụng các trình xử lý tín hiệu SIGINT và SIGTERM, cho phép phần mềm độc hại tự cài đặt lại khi bị chấm dứt hoặc khi khởi động lại hệ thống.

Các tính năng này cho phép hệ thống duy trì tính bảo mật thấp và chống chịu được các sự cố thường gặp do người dùng hoặc hệ thống gây ra.

Chuỗi tấn công được thúc đẩy bởi kỹ thuật xã hội

Cuộc tấn công bắt đầu bằng chiến lược kỹ thuật xã hội:

• Nạn nhân được liên hệ qua các nền tảng như Telegram và bị dụ dỗ lên lịch họp Zoom bằng Calendly.
• Họ nhận được email giả có chứa tập lệnh cập nhật Zoom SDK, được cho là để đảm bảo khả năng tương thích với phần mềm hội nghị truyền hình.

Điều này dẫn đến việc thực thi AppleScript độc hại, tải xuống tập lệnh giai đoạn thứ hai từ máy chủ từ xa trong khi chuyển hướng người dùng đến liên kết Zoom hợp lệ. Tập lệnh giai đoạn thứ hai trích xuất các tệp ZIP có chứa:

• Các tệp nhị phân để thiết lập tính bền bỉ
• Các tập lệnh Bash để đánh cắp dữ liệu hệ thống

Vai trò của InjectWithDyldArm64

Trọng tâm của quá trình lây nhiễm là trình tải C++ được gọi là InjectWithDyldArm64, hay đơn giản là InjectWithDyld. Thành phần này rất quan trọng để triển khai phần mềm độc hại một cách hiệu quả và bí mật. Nó bắt đầu bằng cách giải mã hai tệp nhị phân nhúng, một tệp có tên là 'Target' và tệp còn lại có tên là 'trojan1_arm64.' Sau khi giải mã, nó tiến hành khởi chạy quy trình Target ở trạng thái bị tạm dừng. Khi quy trình bị tạm dừng, trình tải sẽ đưa tệp nhị phân trojan1_arm64 vào đó rồi tiếp tục thực thi. Phương pháp này cho phép phân phối và kích hoạt các tải trọng độc hại theo cách cực kỳ bí mật, bỏ qua các biện pháp phòng thủ hệ thống tiêu chuẩn và giảm thiểu khả năng bị phát hiện.

Trộm cắp thông tin xác thực và giám sát hệ thống

Khi hoạt động, phần mềm độc hại thiết lập kết nối với máy chủ Command-and-Control (C2) từ xa, cho phép nó thực hiện một số hoạt động độc hại. Bao gồm thu thập thông tin hệ thống chi tiết, thực hiện các lệnh tùy ý được đưa ra từ xa, điều hướng qua các thư mục khác nhau và truyền kết quả của các hành động này trở lại kẻ tấn công.

Mối đe dọa leo thang với sự tham gia của thành phần trojan1_arm64, thành phần này tăng cường cuộc tấn công bằng cách lấy thêm hai tải trọng từ cơ sở hạ tầng C2. Các tải trọng này được tạo ra đặc biệt để thu thập thông tin nhạy cảm. Mục tiêu chính của chúng là thông tin đăng nhập được lưu trữ trong các trình duyệt web được sử dụng rộng rãi - Arc, Brave, Chrome, Edge và Firefox, cũng như dữ liệu người dùng từ ứng dụng nhắn tin Telegram.

Cơ chế duy trì

Ngoài các thành phần chính, phần mềm độc hại này còn triển khai các tệp thực thi dựa trên Nim kích hoạt một mô-đun được gọi là CoreKitAgent. Mô-đun này đóng vai trò quan trọng trong việc đảm bảo khả năng phục hồi của phần mềm độc hại bằng cách giám sát mọi nỗ lực chấm dứt hoạt động của nó. Để duy trì sự hiện diện của nó, nó cài đặt các trình xử lý tín hiệu tùy chỉnh cho SIGINT và SIGTERM, cho phép nó tự động khởi chạy lại nếu người dùng hoặc công cụ bảo mật cố gắng tắt nó. Cơ chế tích hợp này tăng cường đáng kể khả năng tồn tại của phần mềm độc hại.

Những kẻ tấn công cũng sử dụng rộng rãi AppleScript, tận dụng nó không chỉ trong giai đoạn lây nhiễm ban đầu mà còn trong suốt quá trình hoạt động của phần mềm độc hại để giám sát và kiểm soát liên tục. Thông qua khả năng viết tập lệnh này, phần mềm độc hại gửi các tín hiệu định kỳ sau mỗi 30 giây đến các máy chủ C2 được mã hóa cứng, rò rỉ thông tin chi tiết về các quy trình đang chạy và thực hiện các lệnh mới do tác nhân đe dọa từ xa đưa ra.

Tại sao Nim làm cho phần mềm độc hại trở nên nguy hiểm hơn

Việc sử dụng ngôn ngữ lập trình Nim mang lại cho kẻ tấn công những lợi thế đáng kể. Khả năng thực thi các hàm tại thời điểm biên dịch của Nim cho phép chúng:

• Nhúng logic phức tạp khó phát hiện
• Làm tối nghĩa luồng điều khiển trong các tệp nhị phân
• Trộn lẫn mã nhà phát triển và mã thời gian chạy, khiến việc phân tích trở nên khó khăn hơn đáng kể

Điều này tạo ra các tệp nhị phân nhỏ gọn, hoạt động hiệu quả với khả năng hiển thị hạn chế đối với các công cụ phát hiện phần mềm độc hại truyền thống.

NimDoor là lời nhắc nhở nghiêm khắc rằng macOS không còn miễn nhiễm với các mối đe dọa dai dẳng tiên tiến nữa. Với các tác nhân Bắc Triều Tiên hiện đang nhắm vào nền tảng này bằng các kỹ thuật đang phát triển và ngôn ngữ lập trình ít được biết đến, việc luôn cập nhật thông tin và cảnh giác trở nên quan trọng hơn bao giờ hết.