Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) JINX-0164 Заплашителен актьор

JINX-0164 Заплашителен актьор

До Mezo през Усъвършенствана постоянна заплаха (APT), Зловреден софтуер, Мобилен зловреден софтуерг
Превод на:

Недокументиран досега хакер, идентифициран като JINX-0164, е организирал силно насочена киберкампания срещу организации за криптовалути, използвайки социално инженерство с цел набиране на персонал и персонализиран зловреден софтуер за macOS, за да краде цифрови активи. Активна поне от средата на 2025 г., финансово мотивираната група се е фокусирала основно върху разработчиците и в поне един потвърден инцидент е извършила компрометиране на веригата за доставки на софтуер.

Кампанията демонстрира усъвършенствана комбинация от измамни тактики за набиране на персонал, внедряване на зловреден софтуер и дълбоко проникване в CI/CD среди. Чрез компрометиране на работните станции на служителите, нападателите успешно се придвижиха странично в инфраструктурата за разработка и системите за разпространение на код, значително увеличавайки обхвата и въздействието на проникванията.

Измамите с набиране на персонал се превръщат във входна точка

JINX-0164 разчита на убеждаване на потребители в LinkedIn да установят контакт с целеви разработчици и служители, работещи в организации, свързани с криптовалути. Жертвите са поканени да участват във виртуални срещи, провеждани на измамни домейни, представящи се за легитимни платформи за телеконферентна връзка.

По време на процеса на фалшиво настройване на среща, целите са инструктирани да изтеглят нещо, което изглежда като клиент за среща или техническо решение. В действителност, изтегленият файл инициира веригата на заразяване, като извлича базиран на Python информационен крадец на macOS и троянски кон за отдалечен достъп, известен като AUDIOFIX, от фалшив домейн за разпространение на драйвери „apple.driver-store.com“.

Процесът на заразяване се улеснява чрез bash скрипт, способен да идентифицира системната архитектура на жертвата, което позволява на зловредния софтуер да работи безпроблемно както на Intel-базирани, така и на Apple Silicon macOS устройства. Полезният товар се маскира като системен аудио драйвер, наречен „coreaudiod“, съхранява се локално като „ChromeUpdater“ и се стартира с помощта на механизмите на macOS launchctl за поддържане на постоянство.

AUDIOFIX позволява дълбоко компрометиране на системата

След внедряването си, AUDIOFIX извършва обширни операции по кражба на идентификационни данни и разузнаване, като същевременно поддържа странично движение към вътрешната инфраструктура. Изследователите наблюдаваха как зловредният софтуер се използва за инжектиране на злонамерени полезни товари в системи за разработка и промяна на изходния код в опити да компрометират допълнителни крайни точки и да съберат идентификационни данни за портфейли с криптовалута.

Зловредният софтуер е способен да открадне широк спектър от чувствителна информация, включително:

  • Идентификационни данни за мениджъра на пароли, данни от браузъра, файлове с iCloud Keychain, SSH ключове, администраторски идентификационни данни, записи за историята на конзолата и конфигурационни файлове
  • Адреси на портфейли с криптовалути, данни за разширения на браузъра, свързани с крипто услуги, и активни сесии от Discord, Slack и Telegram

Освен кражба на информация, AUDIOFIX поддържа и дистанционно изпълнение на команди, изтриване на файлове, доставка на полезен товар, разузнавателни дейности и извличане на данни от заразени системи.

MiniRAT разширява заплахата чрез злоупотреба с веригата за доставки

Друг основен компонент на операцията е MiniRAT, задна вратичка, базирана на Go, свързана с компрометиран npm пакет, наречен „@velora-dex/sdk“. Пакетът е бил свързан с легитимен набор от инструменти за децентрализирани финанси, използван за размяна на токени, делта търговия и лимитирани поръчки на платформата VeloraDEX.

Злонамерената версия на пакета извличала shell скрипт от отдалечен сървър, като в крайна сметка внедрявала специфичен за macOS двоичен файл MiniRAT. След като бил инсталиран, злонамереният софтуер позволявал на атакуващите да качват файлове, да изпълняват произволни shell команди и да изтеглят допълнителни полезни товари от контролирана от атакуващите инфраструктура.

JINX-0164 многократно е използвала повторно тактики на социално инженерство, включващи фалшиви възможности за набиране на персонал и изфабрикувани технически проблеми, изискващи от жертвите да инсталират измамни софтуерни корекции. Тази последователна методология подчертава силния акцент на групата върху човешката манипулация като основен вектор за проникване.

Възможни връзки със севернокорейските кибероперации

Няколко характеристики на кампанията наподобяват дейност, свързана преди това със севернокорейски групи за кибер заплахи като BlueNoroff, Contagious Interview и UNC1069. Изследователите отбелязват сходства в моделите на насочване, фалшивите домейни и използването на VPN услуги като Astrill VPN.

Въпреки тези припокривания, следователите не са идентифицирали никакви потвърдени инфраструктурни връзки, свързващи JINX-0164 директно с операции, спонсорирани от севернокорейската държава. Настоящите доказателства сочат по-скоро оперативни сходства, отколкото окончателно приписване.

Тенденция

Измама с имейл за надграждане на услугата за...

Фишинг, Спам
Неочакваните имейли, които изискват незабавни действия, винаги трябва да се третират с повишено внимание. Киберпрестъпниците редовно маскират фишинг кампании като рутинни предупреждения за сигурност или известия за услуги в опит да откраднат чувствителна информация. Така наречените имейли за „Надграждане на услугата за пощенска кутия“ са част от една такава измама и не са свързани с никой...

Най-гледан

Зареждане...