Monen lisenssin alennustarjous
Uhatietokanta Advanced Persistent Threat (APT) JINX-0164 Uhka-näyttelijä

JINX-0164 Uhka-näyttelijä

Vuonna Mezo vuonna Advanced Persistent Threat (APT), Haittaohjelma, Mobiili haittaohjelma
Käännä:

Aiemmin dokumentoimaton uhkatoimija, joka tunnistettiin nimellä JINX-0164, on järjestänyt tarkasti kohdennetun kyberkampanjan kryptovaluuttaorganisaatioita vastaan käyttäen rekrytointiteemaista sosiaalista manipulointia ja räätälöityjä macOS-haittaohjelmia digitaalisten omaisuuserien varastamiseen. Taloudellisesti motivoitunut ryhmä on toiminut ainakin vuoden 2025 puolivälistä lähtien, ja se on keskittynyt voimakkaasti kehittäjiin ja ainakin yhdessä vahvistetussa tapauksessa toteuttanut ohjelmistojen toimitusketjun murron.

Kampanja esittelee edistyneen yhdistelmän harhaanjohtavia rekrytointitaktiikoita, haittaohjelmien käyttöönottoa ja syvälle kehittyneiden tietoverkkojen ja koodinjakelujärjestelmien (CI/CD) tunkeutumista. Vahingoittamalla työntekijöiden työasemia hyökkääjät pääsivät onnistuneesti sivusuunnassa kehitysinfrastruktuuriin ja koodinjakelujärjestelmiin, mikä lisäsi merkittävästi tunkeutumisten laajuutta ja vaikutusta.

Rekrytointihuijauksista tulee sisäänpääsypiste

JINX-0164 luottaa siihen, että LinkedIn-persoonia suostutellaan ottamaan yhteyttä kohdennettuihin kehittäjiin ja kryptovaluutta-alan organisaatioissa työskenteleviin työntekijöihin. Uhreja kutsutaan osallistumaan virtuaalikokouksiin, joita isännöidään vilpillisillä verkkotunnuksilla, jotka tekeytyvät laillisiksi videoneuvottelualustoiksi.

Valekokouksen määritysprosessin aikana kohteita käsketään lataamaan näennäisesti kokousasiakasohjelma tai tekninen korjaus. Todellisuudessa ladattu tiedosto käynnistää tartuntaketjun hakemalla Python-pohjaisen macOS-tietojen varastamisen ja etäkäytön mahdollistavan troijalaisen nimeltä AUDIOFIX väärennetystä ajurien jakeluverkkotunnuksesta 'apple.driver-store.com'.

Tartuntaprosessia edistetään bash-skriptillä, joka pystyy tunnistamaan uhrin järjestelmäarkkitehtuurin, jolloin haittaohjelma voi toimia saumattomasti sekä Intel-pohjaisilla että Apple Silicon macOS -laitteilla. Hyötykuorma naamioituu järjestelmäääniohjaimeksi nimeltä 'coreaudiod', tallennetaan paikallisesti nimellä 'ChromeUpdater' ja käynnistetään macOS:n launchctl-mekanismeilla pysyvyyden ylläpitämiseksi.

AUDIOFIX mahdollistaa syvän järjestelmän kompromettoinnin

Käyttöönoton jälkeen AUDIOFIX suorittaa laajoja tunnistetietojen varastamis- ja tiedusteluoperaatioita ja tukee samalla sivuttaissiirtoa sisäiseen infrastruktuuriin. Tutkijat havaitsivat, että haittaohjelmaa käytettiin haitallisten hyötykuormien syöttämiseen kehitysjärjestelmiin ja lähdekoodin muokkaamiseen yrittäen vaarantaa lisäpäätepisteitä ja kerätä kryptovaluuttalompakoiden tunnistetietoja.

Haittaohjelma pystyy varastamaan laajan valikoiman arkaluonteisia tietoja, mukaan lukien:

  • Salasananhallinnan tunnistetiedot, selaintiedot, iCloud-avainnipun tiedostot, SSH-avaimet, järjestelmänvalvojan tunnistetiedot, konsolin historiatiedot ja määritystiedostot
  • Kryptovaluuttalompakoiden osoitteet, kryptopalveluihin linkitetyt selainlaajennusten tiedot ja aktiiviset istunnot Discordissa, Slackissa ja Telegramissa

Tietojen varastamisen lisäksi AUDIOFIX tukee myös etäkomentojen suorittamista, tiedostojen poistamista, hyötykuormien toimittamista, tiedustelutoimintaa ja tietojen vuotamista tartunnan saaneista järjestelmistä.

MiniRAT laajentaa uhkaa toimitusketjun väärinkäytön kautta

Toinen tärkeä osa operaatiota on MiniRAT, Go-pohjainen takaovi, joka on yhdistetty vaarantuneeseen npm-pakettiin nimeltä '@velora-dex/sdk'. Paketti oli yhdistetty lailliseen hajautetun rahoituksen työkalupakkiin, jota käytettiin tokeninvaihtoihin, delta-kaupankäyntiin ja rajahintatilauksiin VeloraDEX-alustalla.

Paketin haitallinen versio nouti komentosarjan etäpalvelimelta ja lopulta otti käyttöön macOS-spesifisen MiniRAT-binääritiedoston. Asennuksen jälkeen haittaohjelma mahdollisti hyökkääjien tiedostojen lataamisen, mielivaltaisten komentokomentojen suorittamisen ja lisäkuormien lataamisen hyökkääjän hallitsemasta infrastruktuurista.

JINX-0164 on toistuvasti käyttänyt uudelleen sosiaalisen manipuloinnin taktiikoita, joihin liittyy tekaistuja rekrytointimahdollisuuksia ja tekaistuja teknisiä ongelmia, jotka vaativat uhreja asentamaan vilpillisiä ohjelmistokorjauksia. Tämä johdonmukainen menetelmä korostaa ryhmän vahvaa painotusta ihmisen manipulointiin ensisijaisena tunkeutumisvektorina.

Mahdollisia yhteyksiä Pohjois-Korean kyberoperaatioihin

Useat kampanjan ominaisuudet muistuttavat toimintaa, joka on aiemmin yhdistetty pohjoiskorealaisiin kyberuhkaryhmiin, kuten BlueNoroff, Contagious Interview ja UNC1069. Tutkijat havaitsivat yhtäläisyyksiä kohdistusmalleissa, väärennetyissä verkkotunnuksissa ja VPN-palveluiden, kuten Astrill VPN:n, käytössä.

Näistä päällekkäisyyksistä huolimatta tutkijat eivät ole tunnistaneet vahvistettuja infrastruktuuriyhteyksiä, jotka yhdistäisivät JINX-0164:n suoraan Pohjois-Korean valtion tukemiin operaatioihin. Nykyiset todisteet viittaavat pikemminkin toiminnallisiin samankaltaisuuksiin kuin lopulliseen yhteystietoon.

Trendaavat

Postilaatikkopalvelun päivityssähköpostihuijaus

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, jotka vaativat välittömiä toimia, tulee aina suhtautua varoen. Kyberrikolliset naamioivat säännöllisesti tietojenkalastelukampanjoita rutiininomaisiksi tietoturvahälytyksiksi tai palveluilmoituksiksi yrittäessään varastaa arkaluonteisia tietoja. Niin kutsutut "Mailbox Service Upgrade" -sähköpostit ovat osa tällaista huijausta, eivätkä ne ole yhteydessä mihinkään...

Eniten katsottu

Ladataan...