Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) JINX-0164 Hrozivý aktér

JINX-0164 Hrozivý aktér

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware, Mobilní malware
Přeložit do:

Dříve nezdokumentovaný útočník identifikovaný jako JINX-0164 zorganizoval cílenou kybernetickou kampaň proti kryptoměnovým organizacím, přičemž k odcizení digitálních aktiv využíval sociální inženýrství s náborovou tematikou a na míru vytvořený malware pro macOS. Tato finančně motivovaná skupina, aktivní přinejmenším od poloviny roku 2025, se silně zaměřila na vývojáře a v nejméně jednom potvrzeném incidentu provedla kompromitaci dodavatelského řetězce softwaru.

Kampaň demonstruje pokročilou kombinaci klamavých náborových taktik, nasazení malwaru a hloubkové infiltrace prostředí CI/CD. Narušením pracovních stanic zaměstnanců se útočníci úspěšně přesunuli do vývojové infrastruktury a systémů distribuce kódu, čímž výrazně zvýšili rozsah a dopad těchto útoků.

Náborové podvody se stávají vstupním bodem

JINX-0164 se spoléhá na přesvědčování uživatelů LinkedInu, aby navázali kontakt s cílovými vývojáři a zaměstnanci pracujícími v organizacích souvisejících s kryptoměnami. Oběti jsou zvány k účasti na virtuálních schůzkách pořádaných na podvodných doménách, které se vydávají za legitimní telekonferenční platformy.

Během procesu falešného nastavení schůzky jsou cílové skupiny instruovány ke stažení něčeho, co vypadá jako klient schůzky nebo technická oprava. Ve skutečnosti stažený soubor zahájí infekční řetězec načtením viru AUDIOFIX, který je virem krádeže informací pro macOS a umožňuje vzdálený přístup, a to z falešné domény pro distribuci ovladačů „apple.driver-store.com“.

Proces infekce je usnadněn bash skriptem schopným identifikovat systémovou architekturu oběti, což malwaru umožňuje bezproblémový provoz na zařízeních macOS s procesory Intel i Apple Silicon. Účelová zátěž se maskuje jako systémový zvukový ovladač s názvem „coreaudiod“, je uložen lokálně jako „ChromeUpdater“ a spouští se pomocí mechanismů macOS launchctl pro zachování perzistence.

AUDIOFIX umožňuje hluboké kompromitování systému

Po nasazení provádí AUDIOFIX rozsáhlé operace zaměřené na krádež přihlašovacích údajů a průzkumné operace a zároveň podporuje laterální pohyb do interní infrastruktury. Výzkumníci pozorovali, že malware byl používán k vkládání škodlivých dat do vývojových systémů a úpravě zdrojového kódu ve snaze kompromitovat další koncové body a získat přihlašovací údaje k kryptoměnovým peněženkám.

Malware je schopen ukrást širokou škálu citlivých informací, včetně:

  • Přihlašovací údaje správce hesel, data prohlížeče, soubory svazku klíčů iCloud, klíče SSH, přihlašovací údaje správce, záznamy historie konzole a konfigurační soubory
  • Adresy kryptoměnových peněženek, data rozšíření prohlížeče propojená s krypto službami a aktivní relace z Discordu, Slacku a Telegramu

Kromě krádeže informací AUDIOFIX také podporuje vzdálené provádění příkazů, mazání souborů, doručování dat, průzkumné aktivity a exfiltraci dat z infikovaných systémů.

MiniRAT rozšiřuje hrozbu zneužíváním dodavatelského řetězce

Další významnou součástí operace je MiniRAT, backdoor založený na Go, propojený s kompromitovaným balíčkem npm s názvem „@velora-dex/sdk“. Balíček byl spojen s legitimní sadou decentralizovaných finančních nástrojů používanou pro swapy tokenů, delta obchodování a limitní příkazy na platformě VeloraDEX.

Škodlivá verze balíčku načítala shellový skript ze vzdáleného serveru a nakonec nasadila binární soubor MiniRAT specifický pro macOS. Po instalaci malware umožňoval útočníkům nahrávat soubory, spouštět libovolné příkazy shellu a stahovat další datové části z infrastruktury ovládané útočníkem.

Skupina JINX-0164 opakovaně používala taktiky sociálního inženýrství zahrnující falešné náborové příležitosti a vymýšlení technických problémů, které vyžadují od obětí instalaci podvodných oprav softwaru. Tato konzistentní metodologie zdůrazňuje silný důraz skupiny na manipulaci s lidmi jako primární vektor narušení.

Možné vazby na severokorejské kybernetické operace

Několik charakteristik kampaně připomíná aktivity dříve spojované se severokorejskými skupinami pro kybernetické hrozby, jako jsou BlueNoroff, Contagious Interview a UNC1069. Výzkumníci zaznamenali podobnosti ve vzorcích cílení, falešných doménách a používání služeb VPN, jako je Astrill VPN.

Navzdory těmto překrýváním vyšetřovatelé nenalezli žádná potvrzená infrastrukturní propojení, která by JINX-0164 přímo spojovala s operacemi sponzorovanými severokorejským státem. Současné důkazy naznačují spíše operační podobnosti než definitivní přiřazení.

Trendy

Podvod s upgradem poštovní schránky

Phishing, Spam
S neočekávanými e-maily, které vyžadují okamžitou akci, by se mělo vždy zacházet opatrně. Kyberzločinci pravidelně maskují phishingové kampaně jako běžná bezpečnostní upozornění nebo oznámení služeb ve snaze ukrást citlivé informace. Součástí jednoho takového podvodu jsou i e-maily s takzvaným „upgradem služby poštovní schránky“ a nejsou propojeny s žádným legitimním poskytovatelem e-mailových...

Nejvíce shlédnuto

Načítání...