Hidden Risk Malware
Põhja-Korea ohugrupi BlueNoroffi uus kampaania keskendub krüptovaluutaäridele, kasutades keerukat mitmeastmelist pahavara, mis on suunatud macOS-süsteemidele. Teadlaste poolt varjatud riskiks tituleeritud kampaania meelitab ohvreid e-kirjadega, mis sisaldavad väljamõeldud uudiseid hiljutiste arengute kohta krüptovaluutaturul. Nende rünnetega seotud pahavara kasutab MacOS-is uuenduslikku püsivustehnikat, mis on loodud nii, et uusimad süsteemivärskendused jäävad avastamata, jättes tõhusalt turvahoiatustest mööda.
BlueNoroff on küberkuritegevuse rühmitus, mis on kurikuulus krüptovaluutavarguste poolest ja on varem võtnud sihikule macOS-i süsteemid. Varasemates rünnakutes kasutasid nad ObjCShellzi nime all tuntud kasulikku koormust, mis võimaldas neil luua ohustatud Mac-arvutites kaugkestasid.
Kuidas peidetud kuiviku nakkusahel läbi viiakse
Rünnak algab andmepüügimeili edastamisega, mis näib sisaldavat krüptovaluutaga seotud uudiseid, mida sageli esitatakse edasisaadetud sõnumina tuntud krüptomõjutajalt, et anda sellele usaldusväärsus. Meil sisaldab linki, mis väidetavalt viib olulise teabega PDF-i, kuid tegelikult suunab see ohvri ründajate kontrollitavasse domeeni delphidigital.org.
Teadlased on täheldanud, et URL majutab praegu Bitcoini ETF-i dokumendi kahjutut versiooni, mille pealkirjad muutuvad, kuigi mõnikord viib see ohtliku rakenduste komplekti esimese etapini, mille nimi on Bitcoin Price.app uue tõusu taga peituv risk.
Selle kampaania jaoks kasutas ähvardaja maskeeringuna Texase ülikooli seaduslikku akadeemilist dokumenti. Rünnaku esimene etapp hõlmab tilgutirakendust, mis on allkirjastatud ja notariaalselt kinnitatud kehtiva Apple'i arendaja ID-ga Avantis Regtech Private Limited (2S8XHJ7948), mille Apple on sellest ajast peale tühistanud.
Pärast täitmist laadib tilguti Google Drive'i lingilt alla peibutus-PDF-i ja avab selle vaike-PDF-vaaturis, et ohver ei häiriks. Samal ajal laaditakse rünnaku järgmine etapp salaja alla saidilt matuaner.com. Eelkõige on ründajad muutnud rakenduse Info.plist faili, et võimaldada oma domeeniga ebaturvalisi HTTP-ühendusi, minnes tõhusalt mööda Apple'i rakenduste transpordi turvaprotokollidest.
Uudne püsivusmehhanism, mida varjatud risk ära kasutab
Teise astme kasulik koormus, nimega "kasv", on x86_64 Mach-O binaarfail, mis töötab nii Inteli kui ka Apple Siliconi seadmetes, mis on varustatud Rosetta emulatsiooniraamistikuga. See tagab püsivuse, muutes kasutaja kodukataloogis peidetud .zshenv konfiguratsioonifaili, mis laaditakse Zsh-seansside ajal.
Eduka nakatumise kinnitamiseks ja püsivuse säilitamiseks loob pahavara kataloogi /tmp/ peidetud puutefaili, mis aitab hoida kasuliku koormuse aktiivsena ka pärast taaskäivitamist või kasutaja sisselogimist. See tehnika võimaldab mööda minna macOS 13 ja uuemate püsivuse tuvastamise süsteemidest, mis tavaliselt hoiatavad kasutajaid uute LaunchAgentide installimisel. Nakatades süsteemi pahatahtliku Zshenv-failiga, loob pahavara tugevama püsivuse vormi. Kuigi see meetod ei ole täiesti uus, on see esimene kord, kui teadlased näevad seda pahavara autorite reaalajas rünnakutes.
Kui tagauks on süsteemi juurdunud, ühendub ta Command-and-Control (C2) serveriga, kontrollides iga 60 sekundi järel uusi käske. Selle kasutatavat kasutajaagendi stringi on seostatud varasemate rünnakutega, mis omistati BlueNoroffile aastal 2023. Täheldatud käsud hõlmavad täiendavate kasulike koormuste allalaadimist ja täitmist, failide muutmiseks või varastamiseks mõeldud shellikäskude käivitamist või protsessi täielikku peatamist.
Eksperdid märgivad, et Varjatud Riski kampaania on olnud aktiivne viimased 12 kuud, kasutades pigem otsesemat andmepüügi lähenemisviisi kui tüüpilist sotsiaalmeedia nn hooldusstrateegiat, mida on nähtud teistes Põhja-Korea häkkerite operatsioonides. Teadlased juhivad tähelepanu ka BlueNoroffi jätkuvale võimele kindlustada uusi Apple'i arendajakontosid ja saada nende kasulik koormus notariaalselt tõestatud, võimaldades neil mööda minna macOS Gatekeeperi kaitsest.
