JINX-0164 Draudu aktieris
Iepriekš nedokumentēts apdraudējuma izpildītājs, kas identificēts kā JINX-0164, ir organizējis ļoti mērķtiecīgu kiberkampaņu pret kriptovalūtu organizācijām, izmantojot vervēšanas tematikas sociālo inženieriju un pielāgotu macOS ļaunprogrammatūru, lai nozagtu digitālos aktīvus. Finansiāli motivētā grupa, kas darbojas vismaz kopš 2025. gada vidus, ir koncentrējusies uz izstrādātājiem un vismaz vienā apstiprinātā incidentā ir veikusi programmatūras piegādes ķēdes kompromitēšanu.
Kampaņa demonstrē progresīvu maldinošas vervēšanas taktikas, ļaunprogrammatūras izvietošanas un dziļas CI/CD vides iefiltrēšanās kombināciju. Apdraudot darbinieku darbstacijas, uzbrucēji veiksmīgi iekļuva izstrādes infrastruktūrā un koda izplatīšanas sistēmās, ievērojami palielinot ielaušanās apmēru un ietekmi.
Satura rādītājs
Personāla atlases krāpniecība kļūst par ieejas punktu
JINX-0164 paļaujas uz LinkedIn lietotāju pārliecināšanu sazināties ar mērķauditoriju, tostarp izstrādātājiem un darbiniekiem, kas strādā ar kriptovalūtu saistītās organizācijās. Cietušie tiek aicināti piedalīties virtuālās sanāksmēs, kas tiek rīkotas krāpnieciskos domēnos, kuri uzdodas par likumīgām telekonferenču platformām.
Viltus sapulces iestatīšanas procesa laikā mērķiem tiek dots norādījums lejupielādēt kaut ko, kas šķiet sapulces klients vai tehnisks labojums. Patiesībā lejupielādētais fails sāk inficēšanas ķēdi, no viltota draiveru izplatīšanas domēna “apple.driver-store.com” izgūstot Python balstītu macOS informācijas zagļu un attālās piekļuves Trojas zirgu, kas pazīstams kā AUDIOFIX.
Infekcijas procesu veicina bash skripts, kas spēj identificēt upura sistēmas arhitektūru, ļaujot ļaunprogrammatūrai nemanāmi darboties gan Intel, gan Apple Silicon macOS ierīcēs. Lietumdatne maskējas kā sistēmas audio draiveris ar nosaukumu “coreaudiod”, tiek lokāli saglabāts kā “ChromeUpdater” un tiek palaists, izmantojot macOS launchctl mehānismus, lai saglabātu noturību.
AUDIOFIX nodrošina dziļu sistēmas kompromitēšanu
Pēc izvietošanas AUDIOFIX veic plašas akreditācijas datu zādzības un izlūkošanas operācijas, vienlaikus atbalstot arī sānu pārvietošanos iekšējā infrastruktūrā. Pētnieki novēroja, ka ļaunprogrammatūra tiek izmantota, lai ievadītu ļaunprātīgu slodzi izstrādes sistēmās un modificētu pirmkodu, mēģinot apdraudēt papildu galapunktus un iegūt kriptovalūtas maka akreditācijas datus.
Ļaunprogrammatūra spēj nozagt plašu sensitīvas informācijas klāstu, tostarp:
- Paroļu pārvaldnieka akreditācijas dati, pārlūkprogrammas dati, iCloud atslēgu piekariņu faili, SSH atslēgas, administratora akreditācijas dati, konsoles vēstures ieraksti un konfigurācijas faili
- Kriptovalūtu maku adreses, ar kriptopakalpojumiem saistītie pārlūkprogrammas paplašinājumu dati un aktīvās sesijas no Discord, Slack un Telegram
Papildus informācijas zādzībām AUDIOFIX atbalsta arī attālinātu komandu izpildi, failu dzēšanu, vērtspapīra piegādi, izlūkošanas darbības un datu izvilkšanu no inficētām sistēmām.
MiniRAT paplašina draudus, izmantojot piegādes ķēdes ļaunprātīgu izmantošanu
Vēl viena būtiska operācijas sastāvdaļa ir MiniRAT — uz Go balstīta aizmugurējā durvīm saistīta programma, kas piesaistīta kompromitētai npm pakotnei ar nosaukumu “@velora-dex/sdk”. Pakotne bija saistīta ar likumīgu decentralizētu finanšu rīku komplektu, ko izmantoja žetonu apmaiņai, delta tirdzniecībai un limita rīkojumiem VeloraDEX platformā.
Pakotnes ļaunprātīgā versija izguva čaulas skriptu no attālināta servera, galu galā izvietojot macOS specifisku MiniRAT bināro failu. Pēc instalēšanas ļaunprogrammatūra ļāva uzbrucējiem augšupielādēt failus, izpildīt patvaļīgas čaulas komandas un lejupielādēt papildu vērtumus no uzbrucēju kontrolētas infrastruktūras.
JINX-0164 ir atkārtoti izmantojis sociālās inženierijas taktiku, kas ietver viltus vervēšanas iespējas un safabricētas tehniskas problēmas, kuru dēļ upuriem ir jāinstalē krāpnieciski programmatūras labojumi. Šī konsekventā metodoloģija uzsver grupas spēcīgo uzsvaru uz cilvēku manipulācijām kā galveno ielaušanās vektoru.
Iespējamās saites ar Ziemeļkorejas kiberoperācijām
Vairākas kampaņas iezīmes atgādina darbību, kas iepriekš tika saistīta ar Ziemeļkorejas kiberdraudu grupējumiem, piemēram, BlueNoroff, Contagious Interview un UNC1069. Pētnieki novēroja līdzības mērķauditorijas atlases modeļos, viltotos domēnos un VPN pakalpojumu, piemēram, Astrill VPN, izmantošanā.
Neskatoties uz šīm pārklāšanām, izmeklētāji nav identificējuši nekādus apstiprinātus infrastruktūras savienojumus, kas tieši saistītu JINX-0164 ar Ziemeļkorejas valsts sponsorētām operācijām. Pašreizējie pierādījumi liecina par operacionālām līdzībām, nevis par galīgu saistību.
