Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) JINX-0164 Akter prijetnje

JINX-0164 Akter prijetnje

Do Mezo. Napredna trajna prijetnja (APT), Malware, Mobilni malware. godine
Prevedi na:

Prethodno nedokumentirani akter prijetnje identificiran kao JINX-0164 orkestrirao je visoko ciljanu kibernetičku kampanju protiv kripto organizacija, koristeći socijalni inženjering s temom regrutiranja i posebno izrađen zlonamjerni softver za macOS kako bi ukrao digitalnu imovinu. Aktivna od najmanje sredine 2025., financijski motivirana skupina snažno se usredotočila na developere i, u barem jednom potvrđenom incidentu, izvršila je kompromitiranje lanca opskrbe softverom.

Kampanja demonstrira naprednu kombinaciju varljivih taktika regrutiranja, implementacije zlonamjernog softvera i duboke infiltracije CI/CD okruženja. Kompromitiranjem radnih stanica zaposlenika, napadači su se uspješno lateralno kretali u razvojnu infrastrukturu i sustave distribucije koda, značajno povećavajući opseg i utjecaj upada.

Prijevare pri zapošljavanju postaju ulazna točka

JINX-0164 se oslanja na uvjeravanje LinkedIn osoba da uspostave kontakt s ciljanim programerima i zaposlenicima koji rade u organizacijama povezanim s kriptovalutama. Žrtve se pozivaju na sudjelovanje u virtualnim sastancima koji se održavaju na lažnim domenama koje se lažno predstavljaju kao legitimne platforme za telekonferencije.

Tijekom lažnog procesa postavljanja sastanka, metama se upućuje da preuzmu ono što se čini kao klijent za sastanak ili tehničko rješenje. U stvarnosti, preuzeta datoteka pokreće lanac zaraze preuzimanjem Python-baziranog macOS infostealera i trojanca za udaljeni pristup poznatog kao AUDIOFIX s lažne domene za distribuciju upravljačkih programa, 'apple.driver-store.com'.

Proces zaraze olakšava bash skripta sposobna identificirati arhitekturu sustava žrtve, omogućujući zlonamjernom softveru besprijekoran rad na macOS uređajima s Intelovim procesorima i Apple Silicon procesorima. Korisni sadržaj se maskira kao sistemski audio upravljački program pod nazivom 'coreaudiod', pohranjuje se lokalno kao 'ChromeUpdater' i pokreće se pomoću macOS launchctl mehanizama za održavanje postojanosti.

AUDIOFIX omogućuje duboko kompromitiranje sustava

Nakon implementacije, AUDIOFIX izvodi opsežne operacije krađe i izviđanja vjerodajnica, a istovremeno podržava lateralno kretanje u internu infrastrukturu. Istraživači su primijetili da se zlonamjerni softver koristi za ubrizgavanje zlonamjernih sadržaja u razvojne sustave i mijenjanje izvornog koda u pokušajima kompromitiranja dodatnih krajnjih točaka i krađe vjerodajnica kriptovaluta.

Zlonamjerni softver sposoban je ukrasti širok raspon osjetljivih informacija, uključujući:

  • Vjerodajnice za upravitelj lozinki, podaci preglednika, datoteke iCloud privjeska ključeva, SSH ključevi, administratorske vjerodajnice, zapisi povijesti konzole i konfiguracijske datoteke
  • Adrese kripto novčanika, podaci o proširenjima preglednika povezani s kripto uslugama i aktivne sesije s Discorda, Slacka i Telegrama

Osim krađe informacija, AUDIOFIX također podržava izvršavanje udaljenih naredbi, brisanje datoteka, isporuku korisnog tereta, izviđačke aktivnosti i krađu podataka iz zaraženih sustava.

MiniRAT proširuje prijetnju zlouporabom lanca opskrbe

Druga važna komponenta operacije je MiniRAT, backdoor baziran na Gou, povezan s kompromitiranim npm paketom pod nazivom '@velora-dex/sdk'. Paket je bio povezan s legitimnim decentraliziranim financijskim alatima koji se koriste za zamjene tokena, delta trgovanje i limitirane naloge na platformi VeloraDEX.

Zlonamjerna verzija paketa preuzimala je shell skriptu s udaljenog poslužitelja, te na kraju implementirala macOS-specifičan binarni MiniRAT. Nakon instalacije, zlonamjerni softver omogućavao je napadačima prijenos datoteka, izvršavanje proizvoljnih shell naredbi i preuzimanje dodatnih korisnih podataka s infrastrukture koju kontrolira napadač.

JINX-0164 je više puta koristio taktike socijalnog inženjeringa koje uključuju lažne mogućnosti regrutiranja i izmišljene tehničke probleme koji zahtijevaju od žrtava da instaliraju lažne softverske ispravke. Ova dosljedna metodologija ističe snažan naglasak grupe na ljudskoj manipulaciji kao primarnom vektoru upada.

Moguće veze sa sjevernokorejskim kibernetičkim operacijama

Nekoliko karakteristika kampanje podsjeća na aktivnosti koje su se prethodno povezivale sa sjevernokorejskim skupinama za kibernetičke prijetnje kao što su BlueNoroff, Contagious Interview i UNC1069. Istraživači su primijetili sličnosti u obrascima ciljanja, lažnim domenama i korištenju VPN usluga kao što je Astrill VPN.

Unatoč tim preklapanjima, istražitelji nisu identificirali nikakve potvrđene infrastrukturne veze koje izravno povezuju JINX-0164 s operacijama koje sponzorira sjevernokorejska država. Trenutni dokazi upućuju na operativne sličnosti, a ne na konačnu atribuciju.

U trendu

Nagledanije

Učitavam...