NimDoor Malware
Profesional keselamatan siber telah menemui keluarga perisian hasad macOS yang baru dan tersembunyi yang digelar NimDoor, yang menimbulkan ancaman serius disebabkan oleh teknik kegigihannya yang canggih, mekanisme pencurian data yang tersembunyi dan keupayaan pengelakan yang canggih. Kempen berniat jahat ini dikaitkan dengan pelakon ancaman sejajar Korea Utara yang menyasarkan sektor Web3 dan mata wang kripto.
Isi kandungan
Penggodam Korea Utara Pivot ke Nim dan macOS
Aktor ancaman yang disyaki dikaitkan dengan Korea Utara kini memanfaatkan bahasa pengaturcaraan Nim dalam senjata perisian hasad mereka. Ini menandakan evolusi berterusan dalam kit alat mereka, dengan kempen sebelumnya menggunakan bahasa seperti Go dan Rust. Penggunaan baharu Nim menunjukkan niat untuk berinovasi, terutamanya dalam mencipta ancaman merentas platform yang sukar untuk dikesan dan dianalisis.
Dalam kempen ini, penyerang secara khusus mengejar Web3 dan organisasi yang memfokuskan mata wang kripto, mencadangkan operasi bermotifkan kewangan dengan minat untuk mengganggu atau menyusup infrastruktur kewangan digital.
Teknik macOS Sangat Luar Biasa
Apa yang membuatkan NimDoor sangat membimbangkan ialah pendekatannya yang tidak konvensional terhadap jangkitan macOS. Paling ketara, ia menggunakan:
- Suntikan proses, teknik yang jarang berlaku untuk perisian hasad macOS, membenarkan ancaman untuk merampas dan memanipulasi proses yang sah.
- Saluran komunikasi WSS (WebSocket Secure) untuk interaksi C2 yang disulitkan.
- Kaedah kegigihan baru yang memanfaatkan pengendali isyarat SIGINT dan SIGTERM, membenarkan perisian hasad memasang semula dirinya apabila ditamatkan atau selepas but semula sistem.
Ciri-ciri ini membolehkannya mengekalkan profil rendah dan kekal berdaya tahan terhadap gangguan pengguna biasa atau yang dimulakan oleh sistem.
Rantaian Serangan Didorong Kejuruteraan Sosial
Serangan bermula dengan strategi kejuruteraan sosial:
- Mangsa dihubungi melalui platform seperti Telegram dan terpikat untuk menjadualkan mesyuarat Zoom menggunakan Calendly.
- Mereka menerima e-mel palsu dengan skrip kemas kini SDK Zoom, kononnya untuk memastikan keserasian dengan perisian persidangan video.
Ini membawa kepada pelaksanaan AppleScript yang berniat jahat, yang memuat turun skrip peringkat kedua dari pelayan jauh sambil mengubah hala pengguna ke pautan Zoom yang sah. Skrip peringkat kedua mengekstrak arkib ZIP yang mengandungi:
- Binari untuk mewujudkan kegigihan
- Skrip Bash untuk mencuri data sistem
Peranan InjectWithDyldArm64
Di tengah-tengah proses jangkitan ialah pemuat C++ yang dikenali sebagai InjectWithDyldArm64, atau ringkasnya InjectWithDyld. Komponen ini penting untuk menggunakan perisian hasad dengan berkesan dan secara rahsia. Ia bermula dengan menyahsulit dua binari terbenam, satu bernama 'Sasaran' dan satu lagi 'trojan1_arm64.' Selepas penyahsulitan, ia meneruskan untuk melancarkan proses Sasaran dalam keadaan digantung. Dengan proses dijeda, pemuat menyuntik binari trojan1_arm64 ke dalamnya dan kemudian meneruskan pelaksanaan. Kaedah ini membolehkan muatan berniat jahat dihantar dan diaktifkan dengan cara yang sangat tersembunyi, memintas pertahanan sistem standard dan meminimumkan peluang pengesanan.
Kecurian Tauliah dan Pengawasan Sistem
Setelah aktif, perisian hasad mewujudkan sambungan dengan pelayan Command-and-Control (C2) jauh, membolehkannya menjalankan beberapa operasi berniat jahat. Ini termasuk mengumpul maklumat sistem terperinci, melaksanakan arahan sewenang-wenang yang dikeluarkan dari jauh, menavigasi melalui direktori yang berbeza dan menghantar hasil tindakan ini kembali kepada penyerang.
Ancaman meningkat dengan penglibatan komponen trojan1_arm64, yang meningkatkan serangan dengan mendapatkan dua lagi muatan daripada infrastruktur C2. Muatan ini dibuat khusus untuk mengumpul maklumat sensitif. Sasaran utama mereka ialah bukti kelayakan log masuk yang disimpan dalam pelayar web yang digunakan secara meluas - Arc, Brave, Chrome, Edge dan Firefox, serta data pengguna daripada aplikasi pemesejan Telegram.
Mekanisme Kegigihan
Di luar komponen utamanya, perisian hasad juga menggunakan boleh laku berasaskan Nim yang mengaktifkan modul yang dikenali sebagai CoreKitAgent. Modul ini memainkan peranan penting dalam memastikan daya tahan perisian hasad dengan memantau sebarang percubaan untuk menamatkan operasinya. Untuk mengekalkan kehadirannya, ia memasang pengendali isyarat tersuai untuk SIGINT dan SIGTERM, membolehkannya melancarkan semula secara automatik jika pengguna atau alat keselamatan cuba menutupnya. Mekanisme terbina dalam ini dengan ketara menguatkan kegigihan perisian hasad.
Penyerang juga menggunakan AppleScript secara meluas, memanfaatkannya bukan sahaja semasa fasa jangkitan awal tetapi juga sepanjang operasi perisian hasad untuk pemantauan dan kawalan berterusan. Melalui keupayaan skrip ini, perisian hasad menghantar suar berkala setiap 30 saat kepada pelayan C2 berkod keras, mengeksfiltrasi butiran tentang proses yang sedang dijalankan dan menjalankan arahan baharu yang dikeluarkan oleh aktor ancaman jauh.
Mengapa Nim Menjadikan Perisian Hasad Lebih Berbahaya
Penggunaan bahasa pengaturcaraan Nim memberikan kelebihan yang ketara kepada penyerang. Keupayaan Nim untuk melaksanakan fungsi pada masa penyusunan membolehkan mereka:
- Benamkan logik kompleks yang sukar dikesan
- Mengaburkan aliran kawalan dalam binari
- Gaulkan pembangun dan kod masa jalan, menjadikan analisis lebih sukar dengan ketara
Ini membawa kepada binari yang padat dan berfungsi tinggi dengan keterlihatan yang berkurangan kepada enjin pengesanan perisian hasad tradisional.
NimDoor ialah peringatan yang jelas bahawa macOS tidak lagi kebal terhadap ancaman berterusan yang maju. Dengan pelakon Korea Utara kini menyasarkan platform ini menggunakan teknik yang berkembang dan bahasa pengaturcaraan yang kurang dikenali, kekal bermaklumat dan berwaspada adalah lebih kritikal berbanding sebelum ini.
