Hidden Risk Malware

Pohjoiskorealaisen uhkaryhmän BlueNoroffin uusi kampanja keskittyy kryptovaluuttaliiketoimintaan käyttämällä kehittynyttä monivaiheista haittaohjelmaa, joka kohdistuu macOS-järjestelmiin. Tutkijoiden Hidden Riskiksi kutsuma kampanja houkuttelee uhreja sähköposteilla, jotka sisältävät tekaistuja uutisia kryptovaluuttamarkkinoiden viimeaikaisesta kehityksestä. Näihin hyökkäyksiin liittyvät haittaohjelmat käyttävät macOS:n innovatiivista pysyvyystekniikkaa, joka on suunniteltu jäämään uusimpien järjestelmäpäivitysten huomaamatta ja ohittamaan tehokkaasti tietoturvavaroitukset.

BlueNoroff on tietoverkkorikollisryhmä, joka on pahamaineinen kryptovaluuttavarkauksista ja on aiemmin kohdistanut kohteen macOS-järjestelmiin. Aiemmissa hyökkäyksissä he käyttivät ObjCShellz-nimistä hyötykuormaa, jonka avulla he pystyivät muodostamaan etäkuoret vaarantuneisiin Maceihin.

Kuinka Hidden Rusk -infektioketju toteutetaan

Hyökkäys alkaa tietojenkalastelusähköpostin toimittamisesta, joka näyttää sisältävän kryptovaluuttoihin liittyviä uutisia, ja se esitetään usein edelleen lähetetynä viestinä tunnetulta kryptovaikuttajalta uskottavuuden lisäämiseksi. Sähköposti sisältää linkin, jonka oletetaan johtavan tärkeitä tietoja sisältävään PDF-tiedostoon, mutta itse asiassa se ohjaa uhrin hyökkääjien hallitsemaan verkkotunnukseen, delphidigital.org.

Tutkijat ovat havainneet, että URL-osoite isännöi tällä hetkellä vaaratonta versiota Bitcoin ETF -asiakirjasta, jonka otsikot muuttuvat, vaikka toisinaan se johtaa vaarallisen sovelluspaketin ensimmäiseen vaiheeseen, jonka nimi on Hidden Risk Behind New Surge of Bitcoin Price.app.

Tässä kampanjassa uhkanäyttelijä käytti naamiona Texasin yliopiston laillista akateemista paperia. Hyökkäyksen ensimmäinen vaihe sisältää dropper-sovelluksen, joka on allekirjoitettu ja notaarin vahvistama voimassa olevalla Apple Developer ID:llä "Avantis Regtech Private Limited (2S8XHJ7948), jonka Apple on sittemmin peruuttanut.

Kun tiputus on suoritettu, se lataa houkutus-PDF:n Google Drive -linkistä ja avaa sen oletusarvoisessa PDF-katseluohjelmassa pitääkseen uhrin hajamielisenä. Sillä välin hyökkäyksen seuraava vaihe ladataan salaa osoitteesta matuaner.com. Hyökkääjät ovat muuntaneet sovelluksen Info.plist-tiedostoa salliakseen turvattomat HTTP-yhteydet verkkotunnukseensa ja ohittaen tehokkaasti Applen App Transport Security -protokollat.

Uusi pysyvyysmekanismi, jota piiloriski hyödyntää

Toisen vaiheen hyötykuorma, nimeltään "kasvu", on x86_64 Mach-O -binaari, joka toimii sekä Intel- että Apple Silicon -laitteissa, jotka on varustettu Rosetta-emulointikehyksellä. Se varmistaa pysyvyyden muokkaamalla piilotettua .zshenv-määritystiedostoa käyttäjän kotihakemistossa, joka latautuu Zsh-istuntojen aikana.

Vahvistaakseen onnistuneen tartunnan ja ylläpitääkseen pysyvyyttä haittaohjelma luo piilotetun "kosketustiedoston" /tmp/-hakemistoon, mikä auttaa pitämään hyötykuorman aktiivisena myös uudelleenkäynnistyksen tai sisäänkirjautumisen jälkeen. Tämän tekniikan avulla se voi ohittaa macOS 13:n ja uudempien pysyvyyden havaitsemisjärjestelmät, jotka yleensä varoittavat käyttäjiä, kun uusia LaunchAgents-agentteja asennetaan. Saastuttamalla järjestelmän haitallisella Zshenv-tiedostolla haittaohjelma luo vahvemman pysyvyyden muodon. Vaikka tämä menetelmä ei ole täysin uusi, se on ensimmäinen kerta, kun tutkijat näkevät sen käyttävän haittaohjelmien tekijöiden reaaliaikaisissa hyökkäyksissä.

Kun takaovi on juurtunut järjestelmään, se muodostaa yhteyden Command-and-Control (C2) -palvelimeen ja tarkistaa uusia komentoja 60 sekunnin välein. Sen käyttämä käyttäjäagenttimerkkijono on liitetty aikaisempiin BlueNoroffin vuonna 2023 aiheuttamiin hyökkäyksiin. Havaittuja komentoja ovat lisähyötykuormien lataaminen ja suorittaminen, komentotulkkikomentojen suorittaminen tiedostojen muuttamiseksi tai varastamiseksi tai prosessin pysäyttäminen kokonaan.

Asiantuntijat huomauttavat, että Hidden Risk -kampanja on ollut aktiivinen viimeiset 12 kuukautta, ja siinä on käytetty suorempaa phishing-lähestymistapaa kuin muissa Pohjois-Korean hakkerioperaatioissa havaittua tyypillistä sosiaalisen median "harjoitus"-strategiaa. Tutkijat huomauttavat myös BlueNoroffin jatkuvasta kyvystä suojata uudet Applen kehittäjätilit ja saada niiden hyötykuormat notaarin vahvistamaan, jolloin he voivat ohittaa macOS Gatekeeper -suojaukset.