NimDoor惡意軟體
網路安全專家發現了一個名為 NimDoor 的新型隱密 macOS 惡意軟體家族。該惡意軟體憑藉其先進的持久性技術、隱密的資料竊取機制以及複雜的規避能力,構成了嚴重的威脅。這項惡意攻擊活動被認為是由與北韓結盟的威脅行為者發起的,其目標是 Web3 和加密貨幣領域。
目錄
北韓駭客轉向 Nim 和 macOS
涉嫌與北韓有關聯的威脅行為者目前正在其惡意軟體庫中使用 Nim 程式語言。這標誌著他們的工具包正在不斷演變,先前的攻擊活動曾使用 Go 和 Rust 等語言。 Nim 的新用途體現了其創新的意圖,尤其是在建立難以偵測和分析的跨平台威脅方面。
在這次活動中,攻擊者專門針對 Web3 和以加密貨幣為中心的組織,這表明這是出於經濟動機的行動,目的是破壞或滲透數位金融基礎設施。
非常不尋常的 macOS 技術
NimDoor 尤其令人擔憂的是其針對 macOS 感染的非常規方法。最值得注意的是,它使用了:
- 進程注入是 macOS 惡意軟體的一種罕見技術,它允許威脅劫持和操縱合法進程。
- 用於加密 C2 互動的 WSS(WebSocket 安全性)通訊通道。
- 一種利用 SIGINT 和 SIGTERM 訊號處理程序的新穎持久性方法,允許惡意軟體在終止或系統重新啟動時重新安裝。
這些特性使其能夠保持低調,並能抵禦普通用戶或系統引發的中斷。
社會工程學驅動的攻擊鏈
攻擊始於社會工程策略:
- 受害者透過 Telegram 等平台被聯繫,並被誘騙使用 Calendly 安排 Zoom 會議。
- 他們收到一封帶有 Zoom SDK 更新腳本的虛假電子郵件,據稱是為了確保與視訊會議軟體的兼容性。
這會導致惡意 AppleScript 的執行,該腳本會從遠端伺服器下載第二階段腳本,同時將使用者重新導向到合法的 Zoom 連結。第二階段腳本會擷取包含以下內容的 ZIP 壓縮套件:
- 用於建立持久性的二進位文件
- 用於竊取系統資料的 Bash 腳本
InjectWithDyldArm64 的作用
感染過程的核心是一個名為 InjectWithDyldArm64(簡稱 InjectWithDyld)的 C++ 載入器。該元件對於有效且隱蔽地部署惡意軟體至關重要。它首先解密兩個嵌入的二進位文件,一個名為“Target”,另一個名為“trojan1_arm64”。解密後,它會啟動處於暫停狀態的 Target 進程。在進程暫停後,載入器會將 trojan1_arm64 二進位檔案注入其中,然後恢復執行。這種方法允許以高度隱藏的方式傳遞和啟動惡意負載,從而繞過標準系統防禦措施,並最大限度地降低被發現的可能性。
憑證盜竊和系統監控
一旦激活,該惡意軟體就會與遠端命令與控制 (C2) 伺服器建立連接,從而執行多項惡意操作。這些操作包括收集詳細的系統資訊、執行遠端發出的任意命令、瀏覽不同的目錄,並將這些操作的結果傳回給攻擊者。
隨著 trojan1_arm64 組件的介入,威脅進一步升級,該組件透過從 C2 基礎設施中檢索另外兩個有效載荷來增強攻擊。這些有效載荷專門用於收集敏感資訊。它們的主要目標是儲存在廣泛使用的 Web 瀏覽器(例如 Arc、Brave、Chrome、Edge 和 Firefox)中的登入憑證,以及來自 Telegram 訊息應用程式的使用者資料。
持久性機制
除了主要元件外,該惡意軟體還部署了基於 Nim 的可執行文件,用於啟動名為 CoreKitAgent 的模組。該模組透過監控任何終止惡意軟體運行的嘗試,在確保惡意軟體的韌性方面發揮關鍵作用。為了保持惡意軟體的存在,它會為 SIGINT 和 SIGTERM 安裝自訂訊號處理程序,以便在使用者或安全工具嘗試關閉惡意軟體時自動重新啟動。這種內建機制顯著增強了惡意軟體的持久性。
攻擊者也廣泛使用 AppleScript,不僅在初始感染階段,而且在惡意軟體的整個運行過程中都使用它來進行持續監控和控制。透過這種腳本功能,惡意軟體每 30 秒向硬編碼的 C2 伺服器發送一次週期性信標,竊取當前正在運行的進程的詳細信息,並執行遠端威脅行為者發出的新命令。
為什麼 Nim 會使惡意軟體更加危險
使用 Nim 程式語言為攻擊者帶來了顯著的優勢。 Nim 能夠在編譯時執行函數,這使得攻擊者能夠:
- 嵌入難以檢測的複雜邏輯
- 混淆二進位檔案中的控制流
- 混合開發人員和運行時程式碼,使分析變得更加困難
這會導致緊湊、高效能的二進位檔案對傳統惡意軟體偵測引擎的可見性降低。
NimDoor 事件警告我們,macOS 已不再對高階持續性威脅免疫。隨著北韓攻擊者使用不斷發展的技術和鮮為人知的程式語言瞄準 macOS 平台,保持知情和警惕比以往任何時候都更加重要。
