Hidden Risk Malware

Nauja Šiaurės Korėjos grėsmių grupės „BlueNoroff“ kampanija skirta kriptovaliutų verslui, naudojant sudėtingą kelių pakopų kenkėjišką programą, nukreiptą į „MacOS“ sistemas. Tyrėjų praminta „Paslėpta rizika“, kampanija aukas vilioja el. laiškais, kuriuose pateikiamos išgalvotos naujienos apie naujausius pokyčius kriptovaliutų rinkoje. Kenkėjiška programinė įranga, susijusi su šiomis atakomis, naudoja novatorišką „macOS“ atkaklumo techniką, sukurtą taip, kad jos nepastebėtų naujausi sistemos naujinimai, veiksmingai apeinant saugos įspėjimus.

„BlueNoroff“ yra kibernetinių nusikaltimų grupė, pagarsėjusi kriptovaliutų vagystėmis ir anksčiau taikėsi į „MacOS“ sistemas. Ankstesnėse atakose jie naudojo naudingą apkrovą, žinomą kaip „ObjCShellz“, kuri leido sukurti nuotolinius apvalkalus pažeistuose „Mac“ kompiuteriuose.

Kaip vykdoma paslėptų džiūvėsių infekcijos grandinė

Ataka prasideda nuo sukčiavimo el. laiško, kuriame, atrodo, yra su kriptovaliuta susijusių naujienų, pristatymas, dažnai pateikiamas kaip persiųsta žinutė iš žinomo kriptovaliutos įtakingo asmens, siekiant suteikti jam patikimumo. El. laiške yra nuoroda, tariamai nukreipianti į PDF su svarbia informacija, tačiau ji iš tikrųjų nukreipia auką į užpuolikų valdomą domeną delphidigital.org.

Tyrėjai pastebėjo, kad URL šiuo metu yra nekenksminga Bitcoin ETF dokumento versija su besikeičiančiais pavadinimais, nors kartais tai veda į pirmąjį nesaugių programų paketo, pavadinto Hidden Risk Behind New Surge of Bitcoin Price.app, etapą.

Šiai kampanijai grėsmių veikėjas naudojo teisėtą akademinį dokumentą iš Teksaso universiteto kaip užmaską. Pirmasis atakos etapas apima lašintuvo programą, pasirašytą ir notaro patvirtintą galiojančiu „Apple“ kūrėjo ID „Avantis Regtech Private Limited (2S8XHJ7948“), kurią „Apple“ nuo to laiko atšaukė.

Įvykdžius lašintuvą, jis atsisiunčia jauko PDF iš „Google“ disko nuorodos ir atidaro jį numatytojoje PDF peržiūros priemonėje, kad auka nesiblaškytų. Tuo tarpu kitas atakos etapas slapta atsisiunčiamas iš matuaner.com. Pažymėtina, kad užpuolikai pakeitė programos Info.plist failą, kad su savo domenu galėtų prisijungti nesaugiai HTTP ryšiai, veiksmingai apeinant Apple App Transport Security protokolus.

Naujas patvarumo mechanizmas, kurį išnaudoja paslėpta rizika

Antrojo etapo naudingoji apkrova, pavadinta „augimas“, yra x86_64 Mach-O dvejetainis failas, veikiantis tiek „Intel“, tiek „Apple Silicon“ įrenginiuose, kuriuose yra „Rosetta“ emuliacijos sistema. Jis užtikrina patvarumą modifikuodamas paslėptą .zshenv konfigūracijos failą vartotojo namų kataloge, kuris įkeliamas Zsh seansų metu.

Siekdama patvirtinti sėkmingą užkrėtimą ir išlaikyti išlikimą, kenkėjiška programa sukuria paslėptą „liečiamąjį failą“ /tmp/ kataloge, kuris padeda išlaikyti aktyvų naudingą apkrovą net po perkrovimo ar vartotojo prisijungimo. Ši technika leidžia apeiti „macOS 13“ ir naujesnes patvarumo aptikimo sistemas, kurios paprastai įspėja vartotojus, kai įdiegiamos naujos „LaunchAgents“. Užkrėsdama sistemą kenkėjišku Zshenv failu, kenkėjiška programa sukuria stipresnę išlikimo formą. Nors šis metodas nėra visiškai naujas, mokslininkai pirmą kartą pastebėjo, kad jis naudojamas kenkėjiškų programų autorių tiesioginėse atakose.

Įsitvirtinus sistemoje, užpakalinės durys prisijungia prie komandų ir valdymo (C2) serverio ir kas 60 sekundžių tikrina, ar nėra naujų komandų. Jame naudojama vartotojo agento eilutė buvo susieta su ankstesnėmis atakomis, priskirtomis BlueNoroff 2023 m. Stebėtos komandos apima papildomų naudingųjų apkrovų atsisiuntimą ir vykdymą, apvalkalo komandų paleidimą failams pakeisti ar pavogti arba visišką proceso sustabdymą.

Ekspertai pažymi, kad „Hidden Risk“ kampanija buvo aktyvi pastaruosius 12 mėnesių, taikydamas tiesioginį sukčiavimo metodą, o ne įprastą socialinių tinklų „viliojimo“ strategiją, matomą kitose Šiaurės Korėjos įsilaužėlių operacijose. Tyrėjai taip pat atkreipia dėmesį į nuolatinį „BlueNoroff“ gebėjimą apsaugoti naujas „Apple“ kūrėjų paskyras ir notariškai patvirtinti jų naudingąsias apkrovas, leidžiančias apeiti „macOS Gatekeeper“ apsaugą.