Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) JINX-0164 Απειλητικός Δράστης

JINX-0164 Απειλητικός Δράστης

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Κακόβουλο λογισμικό, Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:

Ένας προηγουμένως μη καταγεγραμμένος απειλητικός φορέας, ο οποίος ταυτοποιήθηκε ως JINX-0164, ενορχήστρωσε μια εξαιρετικά στοχευμένη κυβερνοεκστρατεία εναντίον οργανισμών κρυπτονομισμάτων, χρησιμοποιώντας κοινωνική μηχανική με θέμα την στρατολόγηση και προσαρμοσμένο κακόβουλο λογισμικό macOS για την κλοπή ψηφιακών περιουσιακών στοιχείων. Ενεργή τουλάχιστον από τα μέσα του 2025, η οικονομικά κίνητρα ομάδα έχει επικεντρωθεί σε μεγάλο βαθμό σε προγραμματιστές και, σε τουλάχιστον ένα επιβεβαιωμένο περιστατικό, εκτέλεσε παραβίαση της αλυσίδας εφοδιασμού λογισμικού.

Η καμπάνια επιδεικνύει έναν προηγμένο συνδυασμό παραπλανητικών τακτικών στρατολόγησης, ανάπτυξης κακόβουλου λογισμικού και βαθιάς διείσδυσης σε περιβάλλοντα CI/CD. Παραβιάζοντας τους σταθμούς εργασίας των εργαζομένων, οι εισβολείς εισέβαλαν με επιτυχία σε υποδομές ανάπτυξης και συστήματα διανομής κώδικα, αυξάνοντας σημαντικά το εύρος και τον αντίκτυπο των εισβολών.

Οι απάτες προσλήψεων γίνονται το σημείο εισόδου

Το JINX-0164 βασίζεται στο να πείσει τα πρόσωπα του LinkedIn να ξεκινήσουν επαφή με στοχευμένους προγραμματιστές και υπαλλήλους που εργάζονται σε οργανισμούς που σχετίζονται με κρυπτονομίσματα. Τα θύματα καλούνται να συμμετάσχουν σε εικονικές συναντήσεις που φιλοξενούνται σε δόλια domains που μιμούνται νόμιμες πλατφόρμες τηλεδιάσκεψης.

Κατά τη διάρκεια της διαδικασίας εγκατάστασης της ψεύτικης σύσκεψης, οι στόχοι λαμβάνουν οδηγίες να κατεβάσουν αυτό που φαίνεται να είναι ένα πρόγραμμα-πελάτη σύσκεψης ή μια τεχνική επιδιόρθωση. Στην πραγματικότητα, το ληφθέν αρχείο ξεκινά την αλυσίδα μόλυνσης ανακτώντας ένα macOS infostealer και ένα trojan απομακρυσμένης πρόσβασης που βασίζεται σε Python, γνωστό ως AUDIOFIX, από έναν πλαστογραφημένο τομέα διανομής προγραμμάτων οδήγησης, 'apple.driver-store.com'.

Η διαδικασία μόλυνσης διευκολύνεται μέσω ενός σεναρίου bash ικανού να αναγνωρίσει την αρχιτεκτονική συστήματος του θύματος, επιτρέποντας στο κακόβουλο λογισμικό να λειτουργεί απρόσκοπτα τόσο σε συσκευές macOS που βασίζονται σε επεξεργαστές Intel όσο και σε συσκευές Apple Silicon. Το ωφέλιμο φορτίο μεταμφιέζεται σε ένα πρόγραμμα οδήγησης ήχου συστήματος με το όνομα «coreaudiod», αποθηκεύεται τοπικά ως «ChromeUpdater» και εκκινείται χρησιμοποιώντας μηχανισμούς macOS launchctl για να διατηρήσει την επιμονή του.

Το AUDIOFIX επιτρέπει την παραβίαση του συστήματος σε βάθος

Μόλις αναπτυχθεί, το AUDIOFIX εκτελεί εκτεταμένες επιχειρήσεις κλοπής διαπιστευτηρίων και αναγνώρισης, ενώ παράλληλα υποστηρίζει πλευρική μετακίνηση σε εσωτερικές υποδομές. Οι ερευνητές παρατήρησαν ότι το κακόβουλο λογισμικό χρησιμοποιείται για την εισαγωγή κακόβουλων φορτίων σε συστήματα ανάπτυξης και την τροποποίηση του πηγαίου κώδικα, σε μια προσπάθεια να παραβιαστούν πρόσθετα τελικά σημεία και να συλλεχθούν διαπιστευτήρια πορτοφολιών κρυπτονομισμάτων.

Το κακόβουλο λογισμικό είναι ικανό να κλέψει ένα ευρύ φάσμα ευαίσθητων πληροφοριών, όπως:

  • Διαπιστευτήρια διαχειριστή κωδικών πρόσβασης, δεδομένα προγράμματος περιήγησης, αρχεία iCloud Keychain, κλειδιά SSH, διαπιστευτήρια διαχειριστή, αρχεία ιστορικού κονσόλας και αρχεία διαμόρφωσης
  • Διευθύνσεις πορτοφολιών κρυπτονομισμάτων, δεδομένα επεκτάσεων προγράμματος περιήγησης που συνδέονται με υπηρεσίες κρυπτογράφησης και ενεργές συνεδρίες από Discord, Slack και Telegram

Πέρα από την κλοπή πληροφοριών, το AUDIOFIX υποστηρίζει επίσης την απομακρυσμένη εκτέλεση εντολών, τη διαγραφή αρχείων, την παράδοση ωφέλιμου φορτίου, τις δραστηριότητες αναγνώρισης και την εξαγωγή δεδομένων από μολυσμένα συστήματα.

Η MiniRAT διευρύνει την απειλή μέσω της κατάχρησης της εφοδιαστικής αλυσίδας

Ένα άλλο σημαντικό στοιχείο της επιχείρησης είναι το MiniRAT, ένα backdoor που βασίζεται σε Go και συνδέεται με ένα παραβιασμένο πακέτο npm με το όνομα '@velora-dex/sdk'. Το πακέτο συσχετιζόταν με ένα νόμιμο κιτ αποκεντρωμένων χρηματοοικονομικών εργαλείων που χρησιμοποιείται για ανταλλαγές token, συναλλαγές δέλτα και εντολές ορίου στην πλατφόρμα VeloraDEX.

Η κακόβουλη έκδοση του πακέτου ανέκτησε ένα shell script από έναν απομακρυσμένο διακομιστή, αναπτύσσοντας τελικά ένα δυαδικό αρχείο MiniRAT ειδικά για macOS. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό επέτρεψε στους εισβολείς να ανεβάσουν αρχεία, να εκτελέσουν αυθαίρετες εντολές shell και να κατεβάσουν πρόσθετα payloads από υποδομή που ελέγχεται από τον εισβολέα.

Το JINX-0164 έχει επανειλημμένα επαναχρησιμοποιήσει τακτικές κοινωνικής μηχανικής που περιλαμβάνουν ψεύτικες ευκαιρίες στρατολόγησης και έχει κατασκευάσει τεχνικά προβλήματα που απαιτούν από τα θύματα να εγκαταστήσουν δόλιες διορθώσεις λογισμικού. Αυτή η συνεπής μεθοδολογία υπογραμμίζει την ισχυρή έμφαση της ομάδας στην ανθρώπινη χειραγώγηση ως κύριο φορέα εισβολής.

Πιθανές συνδέσεις με κυβερνοεπιχειρήσεις της Βόρειας Κορέας

Αρκετά χαρακτηριστικά της καμπάνιας μοιάζουν με δραστηριότητα που είχε προηγουμένως συσχετιστεί με βορειοκορεατικές ομάδες κυβερνοαπειλών, όπως οι BlueNoroff, Contagious Interview και UNC1069. Οι ερευνητές παρατήρησαν ομοιότητες στα πρότυπα στόχευσης, τα πλαστογραφημένα domains και τη χρήση υπηρεσιών VPN όπως το Astrill VPN.

Παρά τις επικαλύψεις αυτές, οι ερευνητές δεν έχουν εντοπίσει καμία επιβεβαιωμένη σύνδεση υποδομής που να συνδέει το JINX-0164 άμεσα με επιχειρήσεις που χρηματοδοτούνται από το κράτος της Βόρειας Κορέας. Τα τρέχοντα στοιχεία υποδηλώνουν επιχειρησιακές ομοιότητες και όχι οριστική απόδοση.

Τάσεις

Απάτη μέσω email με αναβάθμιση υπηρεσίας...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα μη αναμενόμενα email που απαιτούν άμεση δράση θα πρέπει πάντα να αντιμετωπίζονται με προσοχή. Οι κυβερνοεγκληματίες μεταμφιέζουν τακτικά τις καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) ως συνηθισμένες ειδοποιήσεις ασφαλείας ή ειδοποιήσεις υπηρεσίας, σε μια προσπάθεια να κλέψουν ευαίσθητες πληροφορίες. Τα λεγόμενα email "Αναβάθμιση Υπηρεσίας Γραμματοκιβωτίου" αποτελούν μέρος μιας τέτοιας...

Περισσότερες εμφανίσεις

Φόρτωση...