Hidden Risk Malware

Jaunā Ziemeļkorejas draudu grupas BlueNoroff kampaņa ir vērsta uz kriptovalūtu biznesu, izmantojot sarežģītu daudzpakāpju ļaunprātīgu programmatūru, kuras mērķauditorija ir MacOS sistēmas. Kampaņa, ko pētnieki nodēvējuši par slēpto risku, upurus vilina ar e-pastiem, kas satur safabricētas ziņas par jaunākajiem notikumiem kriptovalūtu tirgū. Šajos uzbrukumos iesaistītā ļaunprogrammatūra izmanto novatorisku noturības paņēmienu operētājsistēmā MacOS, kas izstrādāts tā, lai jaunākie sistēmas atjauninājumi to nepamanītu, efektīvi apejot drošības brīdinājumus.

BlueNoroff ir kibernoziegumu grupa, kas ir bēdīgi slavena ar kriptovalūtas zādzībām un iepriekš ir mērķējusi uz MacOS sistēmām. Iepriekšējos uzbrukumos viņi izmantoja lietderīgo slodzi, kas pazīstama kā ObjCShellz, kas ļāva viņiem izveidot attālos apvalkus apdraudētiem Mac datoriem.

Kā tiek veikta slēptā sausiņu infekcijas ķēde

Uzbrukums sākas ar pikšķerēšanas e-pasta ziņojumu piegādi, kas, šķiet, satur ar kriptovalūtu saistītas ziņas, kas bieži tiek pasniegtas kā pārsūtīts ziņojums no labi pazīstama kriptovalūtas ietekmētāja, lai nodrošinātu tai uzticamību. E-pastā ir ietverta saite, kas it kā ved uz PDF failu ar svarīgu informāciju, taču patiesībā upuris tiek novirzīts uz uzbrucēju kontrolētu domēnu delphidigital.org.

Pētnieki ir novērojuši, ka vietrādī URL pašlaik tiek mitināta nekaitīga Bitcoin ETF dokumenta versija ar mainīgiem nosaukumiem, lai gan dažkārt tas noved pie nedrošas lietojumprogrammu paketes pirmā posma ar nosaukumu Slēpts risks aiz jaunā Bitcoin Price.app pieauguma.

Šai kampaņai draudu aktieris kā masku izmantoja likumīgu akadēmisko darbu no Teksasas universitātes. Pirmajā uzbrukuma posmā tiek izmantota pilinātāja lietojumprogramma, kas parakstīta un notariāli apstiprināta ar derīgu Apple izstrādātāja ID Avantis Regtech Private Limited (2S8XHJ7948), kuru Apple kopš tā laika ir atsaucis.

Kad tas ir izpildīts, pilinātājs lejupielādē mānekļu PDF failu no Google diska saites un atver to noklusējuma PDF skatītājā, lai novērstu upura uzmanību. Tikmēr nākamais uzbrukuma posms tiek slepeni lejupielādēts no matuaner.com. Proti, uzbrucēji ir mainījuši lietotnes Info.plist failu, lai atļautu nedrošus HTTP savienojumus ar viņu domēnu, efektīvi apejot Apple App Transport Security protokolus.

Jauns noturības mehānisms, ko izmanto slēptais risks

Otrā posma lietderīgā slodze ar nosaukumu “izaugsme” ir x86_64 Mach-O binārs, kas darbojas gan Intel, gan Apple Silicon ierīcēs, kas aprīkotas ar Rosetta emulācijas sistēmu. Tas nodrošina noturību, modificējot slēpto .zshenv konfigurācijas failu lietotāja mājas direktorijā, kas tiek ielādēts Zsh sesiju laikā.

Lai apstiprinātu veiksmīgu inficēšanos un saglabātu noturību, ļaunprogrammatūra /tmp/ direktorijā izveido slēptu "pieskāriena failu", kas palīdz saglabāt lietderīgo slodzi pat pēc atkārtotas palaišanas vai lietotāja pieteikšanās. Šis paņēmiens ļauj apiet macOS 13 un jaunāku versiju noturības noteikšanas sistēmas, kas parasti brīdina lietotājus, kad tiek instalēti jauni LaunchAgents. Inficējot sistēmu ar ļaunprātīgu Zshenv failu, ļaunprogrammatūra nodrošina spēcīgāku noturības veidu. Lai gan šī metode nav pilnīgi jauna, tā ir pirmā reize, kad pētnieki ir redzējuši, ka to izmanto ļaunprogrammatūras autoru uzbrukumos.

Kad aizmugures durvis ir nostiprinātas sistēmā, tās izveido savienojumu ar Command-and-Control (C2) serveri, pārbaudot jaunas komandas ik pēc 60 sekundēm. Tajā izmantotā lietotāja aģenta virkne ir saistīta ar iepriekšējiem uzbrukumiem, kas tika attiecināti uz BlueNoroff 2023. gadā. Novērotās komandas ietver papildu lietderīgās slodzes lejupielādi un izpildi, čaulas komandu izpildi, lai mainītu vai nozagtu failus, vai procesa apturēšana pavisam.

Eksperti atzīmē, ka Slēptā riska kampaņa ir bijusi aktīva pēdējos 12 mēnešus, izmantojot tiešāku pikšķerēšanas pieeju, nevis tipisku sociālo mediju “uzkopšanas” stratēģiju, kas novērota citās Ziemeļkorejas hakeru operācijās. Pētnieki arī norāda uz BlueNoroff pastāvīgo spēju nodrošināt jaunus Apple izstrādātāju kontus un notariāli apstiprināt to derīgo slodzi, ļaujot viņiem apiet macOS Gatekeeper aizsardzību.