Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) JINX-0164 Dreigingsactor

JINX-0164 Dreigingsactor

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware, Mobiele malware
Vertalen naar:

Een voorheen ongedocumenteerde cybercrimineel, geïdentificeerd als JINX-0164, heeft een zeer gerichte cyberaanval opgezet tegen cryptovaluta-organisaties. Hierbij werd gebruikgemaakt van social engineering met wervingsthema's en speciaal ontwikkelde macOS-malware om digitale activa te stelen. De financieel gemotiveerde groep, die minstens sinds medio 2025 actief is, heeft zich sterk gericht op ontwikkelaars en heeft in ten minste één bevestigd incident een inbreuk gepleegd op de softwareleveringsketen.

De campagne demonstreert een geavanceerde combinatie van misleidende wervingstactieken, de inzet van malware en diepgaande infiltratie van CI/CD-omgevingen. Door de werkstations van medewerkers te compromitteren, wisten de aanvallers zich succesvol te verplaatsen naar de ontwikkelingsinfrastructuur en codedistributiesystemen, waardoor de omvang en impact van de inbraken aanzienlijk toenamen.

Oplichting via werving wordt het toegangspunt

JINX-0164 maakt gebruik van LinkedIn-profielen om contact te leggen met ontwikkelaars en medewerkers van organisaties die actief zijn in de cryptovaluta-industrie. Slachtoffers worden uitgenodigd voor virtuele vergaderingen op frauduleuze websites die zich voordoen als legitieme videoconferentieplatformen.

Tijdens het opzetten van de nepvergadering worden slachtoffers gevraagd een bestand te downloaden dat lijkt op een vergaderclient of een technische update. In werkelijkheid start het gedownloade bestand de infectieketen door een op Python gebaseerde macOS-infostealer en remote access trojan genaamd AUDIOFIX op te halen van een vervalst domein voor driverdistributie, 'apple.driver-store.com'.

Het infectieproces wordt mogelijk gemaakt door een bash-script dat de systeemarchitectuur van het slachtoffer kan identificeren, waardoor de malware probleemloos kan werken op zowel Intel- als Apple Silicon macOS-apparaten. De payload vermomt zich als een systeemaudiostuurprogramma met de naam 'coreaudiod', wordt lokaal opgeslagen als 'ChromeUpdater' en wordt gestart met behulp van macOS launchctl-mechanismen om persistentie te garanderen.

AUDIOFIX maakt diepgaande systeemcompromissen mogelijk.

Eenmaal geïmplementeerd voert AUDIOFIX uitgebreide operaties uit om inloggegevens te stelen en te verkennen, en ondersteunt het tevens laterale verplaatsing naar interne infrastructuur. Onderzoekers observeerden dat de malware werd gebruikt om kwaadaardige payloads in ontwikkelingssystemen te injecteren en broncode te wijzigen in een poging om extra eindpunten te compromitteren en inloggegevens van cryptowallets te bemachtigen.

De malware is in staat om een breed scala aan gevoelige informatie te stelen, waaronder:

  • Wachtwoordbeheerdergegevens, browsergegevens, iCloud Keychain-bestanden, SSH-sleutels, beheerdersgegevens, consolegeschiedenis en configuratiebestanden
  • Cryptocurrency-walletadressen, gegevens van browserextensies gekoppeld aan cryptodiensten en actieve sessies van Discord, Slack en Telegram.

Naast het stelen van informatie ondersteunt AUDIOFIX ook het uitvoeren van commando's op afstand, het verwijderen van bestanden, het versturen van schadelijke software, verkenningsactiviteiten en het exfiltreren van gegevens uit geïnfecteerde systemen.

MiniRAT vergroot de dreiging door misbruik van de toeleveringsketen.

Een ander belangrijk onderdeel van de operatie is MiniRAT, een op Go gebaseerde backdoor die gekoppeld is aan een gecompromitteerd npm-pakket met de naam '@velora-dex/sdk'. Dit pakket was verbonden aan een legitieme toolkit voor gedecentraliseerde financiën die gebruikt werd voor token-swaps, delta-trading en limietorders op het VeloraDEX-platform.

De kwaadaardige versie van het pakket haalde een shellscript op van een externe server en installeerde uiteindelijk een macOS-specifieke MiniRAT-binary. Eenmaal geïnstalleerd, stelde de malware aanvallers in staat om bestanden te uploaden, willekeurige shellcommando's uit te voeren en extra payloads te downloaden van door de aanvallers beheerde infrastructuur.

JINX-0164 heeft herhaaldelijk gebruikgemaakt van social engineering-tactieken, waaronder nep-wervingsmogelijkheden en verzonnen technische problemen waarbij slachtoffers gedwongen worden frauduleuze software-updates te installeren. Deze consistente methodologie benadrukt de sterke nadruk van de groep op menselijke manipulatie als belangrijkste inbraakmethode.

Mogelijke verbanden met Noord-Koreaanse cyberoperaties

Verschillende kenmerken van de campagne vertonen overeenkomsten met activiteiten die eerder in verband werden gebracht met Noord-Koreaanse cyberdreigingsgroepen zoals BlueNoroff, Contagious Interview en UNC1069. Onderzoekers constateerden overeenkomsten in de doelwitten, vervalste domeinnamen en het gebruik van VPN-diensten zoals Astrill VPN.

Ondanks deze overeenkomsten hebben onderzoekers geen bevestigde infrastructurele verbanden kunnen vaststellen die JINX-0164 rechtstreeks linken aan door de Noord-Koreaanse staat gesponsorde operaties. Het huidige bewijsmateriaal wijst eerder op operationele overeenkomsten dan op een definitieve toewijzing.

Trending

Meest bekeken

Bezig met laden...