Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) JINX-0164 Fenyegető színész

JINX-0164 Fenyegető színész

Mezo -ra Advanced Persistent Threat (APT), Malware, Mobil rosszindulatú program-ben
Fordítás ide:

Egy korábban nem dokumentált, JINX-0164 néven azonosított fenyegető szereplő célzott kiberkampányt indított kriptovaluta-szervezetek ellen, toborzási témájú társadalmi manipulációt és egyedi fejlesztésű macOS rosszindulatú programokat használva digitális eszközök ellopására. A legalább 2025 közepe óta aktív, pénzügyileg motivált csoport nagy hangsúlyt fektetett a fejlesztőkre, és legalább egy megerősített incidensben szoftverellátási lánc feltörését hajtotta végre.

A kampány a megtévesztő toborzási taktikák, a rosszindulatú programok telepítésének és a CI/CD környezetekbe való mély behatolás fejlett kombinációját mutatja be. Az alkalmazottak munkaállomásainak feltörésével a támadók sikeresen behatoltak a fejlesztői infrastruktúrába és a kódelosztó rendszerekbe, jelentősen növelve a behatolások hatókörét és hatását.

A toborzási csalások válnak a belépési ponttá

A JINX-0164 arra támaszkodik, hogy meggyőzze a LinkedIn-személyeket, hogy kapcsolatba lépjenek a célzott fejlesztőkkel és kriptovalutákkal foglalkozó szervezeteknél dolgozó alkalmazottakkal. Az áldozatokat meghívják virtuális találkozókra, amelyeket csalárd domaineken tartanak, legitim telekonferencia-platformoknak adva ki magukat.

A hamis értekezlet-beállítási folyamat során a célpontok utasítást kapnak, hogy töltsenek le egy látszólagos értekezletklienst vagy technikai javítást. A valóságban a letöltött fájl egy Python-alapú macOS információlopó és távoli hozzáférést biztosító trójai, az AUDIOFIX letöltésével indítja el a fertőzési láncot egy hamisított illesztőprogram-terjesztési domainről, az „apple.driver-store.com”-ról.

A fertőzési folyamatot egy bash szkript segíti elő, amely képes azonosítani az áldozat rendszerarchitektúráját, lehetővé téve a kártevő zökkenőmentes működését mind Intel-alapú, mind Apple Silicon macOS eszközökön. A hasznos adat egy „coreaudiod” nevű rendszerhang-illesztőprogramként álcázza magát, helyben „ChromeUpdater” néven tárolódik, és a macOS launchctl mechanizmusaival indul a perzisztencia fenntartása érdekében.

Az AUDIOFIX lehetővé teszi a mély rendszerkompromittálást

A telepítést követően az AUDIOFIX kiterjedt hitelesítőadat-lopási és felderítési műveleteket hajt végre, miközben támogatja a belső infrastruktúrába való oldalirányú mozgást is. A kutatók megfigyelték, hogy a rosszindulatú programot rosszindulatú hasznos adatok fejlesztői rendszerekbe juttatására és a forráskód módosítására használják, további végpontok feltörésére és kriptovaluta-tárca hitelesítő adatok megszerzésére.

A rosszindulatú program képes számos érzékeny információ ellopására, beleértve:

  • Jelszókezelő hitelesítő adatai, böngészőadatok, iCloud kulcstartó fájlok, SSH-kulcsok, rendszergazdai hitelesítő adatok, konzol előzményrekordok és konfigurációs fájlok
  • Kriptovaluta-tárcacímek, kriptoszolgáltatásokhoz kapcsolódó böngészőbővítmény-adatok, valamint aktív munkamenetek a Discord, Slack és Telegram szolgáltatásból

Az információlopáson túl az AUDIOFIX támogatja a távoli parancsfuttatást, a fájlok törlését, a hasznos adatok kézbesítését, a felderítő tevékenységeket és a fertőzött rendszerekből történő adatlopást is.

A MiniRAT kiterjeszti a fenyegetést az ellátási lánc visszaélésein keresztül

A művelet egy másik fontos eleme a MiniRAT, egy Go-alapú hátsó ajtó, amely egy feltört „@velora-dex/sdk” nevű npm csomaghoz van kötve. A csomag egy legitim decentralizált pénzügyi eszközkészlettel volt társítva, amelyet token swapokhoz, delta kereskedéshez és limit megbízásokhoz használtak a VeloraDEX platformon.

A csomag rosszindulatú verziója egy shell szkriptet kért le egy távoli szerverről, végül egy macOS-specifikus MiniRAT bináris fájlt telepítve. A telepítés után a rosszindulatú fájl lehetővé tette a támadók számára fájlok feltöltését, tetszőleges shell parancsok végrehajtását és további hasznos adatok letöltését a támadó által ellenőrzött infrastruktúrából.

A JINX-0164 ismételten alkalmazott pszichológiai manipulációs taktikákat, amelyek hamis toborzási lehetőségeket és kitalált technikai problémákat jelentettek, amelyek miatt az áldozatoknak csalárd szoftverjavításokat kellett telepíteniük. Ez az következetes módszertan rávilágít a csoport erős hangsúlyára, hogy az emberi manipuláció elsődleges behatolási vektor.

Lehetséges kapcsolatok az észak-koreai kiberműveletekkel

A kampány számos jellemzője hasonlít az olyan tevékenységekhez, amelyeket korábban olyan észak-koreai kiberfenyegető csoportok tevékenységéhez kötöttek, mint a BlueNoroff, a Contagious Interview és az UNC1069. A kutatók hasonlóságokat figyeltek meg a célzási mintákban, a hamis domainekben és a VPN-szolgáltatások, például az Astrill VPN használatában.

Ezen átfedések ellenére a nyomozók nem azonosítottak olyan megerősített infrastrukturális kapcsolatot, amely a JINX-0164-et közvetlenül az észak-koreai államilag támogatott műveletekhez kötné. A jelenlegi bizonyítékok inkább működési hasonlóságokra, mintsem egyértelmű összefüggésre utalnak.

Felkapott

Postafiók-szolgáltatás frissítésével kapcsolatos...

Adathalászat, Spam
A váratlan, azonnali beavatkozást igénylő e-maileket mindig óvatosan kell kezelni. A kiberbűnözők rendszeresen álcázzák az adathalász kampányokat rutinszerű biztonsági riasztásokként vagy szolgáltatási értesítésekként, hogy megpróbáljanak bizalmas információkat ellopni. Az úgynevezett „Postafiók-szolgáltatás frissítése” e-mailek egy ilyen átverés részét képezik, és nem kapcsolódnak semmilyen...

Legnézettebb

Betöltés...