Hidden Risk Malware

Nová kampaň severokórejskej skupiny hrozieb BlueNoroff sa zameriava na podnikanie v oblasti kryptomien, pričom využíva sofistikovaný viacstupňový malvér zameraný na systémy macOS. Kampaň, ktorú výskumníci nazvali Skryté riziko, láka obete e-mailmi, ktoré obsahujú vymyslené správy o najnovšom vývoji na trhu s kryptomenami. Malvér zapojený do týchto útokov využíva inovatívnu techniku perzistencie v systéme macOS, ktorá bola navrhnutá tak, aby zostala neodhalená najnovšími aktualizáciami systému a účinne obchádzala bezpečnostné výstrahy.

BlueNoroff je skupina zaoberajúca sa počítačovou kriminalitou, ktorá je známa krádežou kryptomien a už predtým sa zamerala na systémy macOS. V minulých útokoch použili užitočné zaťaženie známe ako ObjCShellz, ktoré im umožnilo vytvoriť vzdialené shelly na napadnutých počítačoch Mac.

Ako prebieha skrytý infekčný reťazec

Útok začína doručením phishingového e-mailu, ktorý zrejme obsahuje správy súvisiace s kryptomenami, často prezentované ako preposlaná správa od známeho ovplyvňovateľa kryptomien, aby mu dodali dôveryhodnosť. E-mail obsahuje odkaz, ktorý údajne vedie k PDF s dôležitými informáciami, ale v skutočnosti nasmeruje obeť na doménu kontrolovanú útočníkmi, delphidigital.org.

Výskumníci zistili, že adresa URL v súčasnosti obsahuje neškodnú verziu dokumentu Bitcoin ETF s meniacimi sa názvami, hoci niekedy vedie k prvej fáze balíka nebezpečných aplikácií s názvom Skryté riziko za novým nárastom Bitcoin Price.app.

Pre túto kampaň použil aktér hrozby ako prestroj legitímny akademický dokument z Texaskej univerzity. Prvá fáza útoku zahŕňa aplikáciu dropper, podpísanú a notársky overenú pod platným Apple Developer ID, „Avantis Regtech Private Limited (2S8XHJ7948), ktoré Apple medzitým odvolal.

Po spustení si kvapkadlo stiahne návnadu PDF z odkazu na Disk Google a otvorí ho v predvolenom prehliadači PDF, aby obeť rozptyľovala. Medzitým sa ďalšia fáza útoku tajne stiahne z matuaner.com. Je pozoruhodné, že útočníci zmenili súbor Info.plist aplikácie, aby umožnili nezabezpečené HTTP pripojenia k ich doméne, čím efektívne obišli protokoly Apple App Transport Security.

Nový mechanizmus vytrvalosti využívaný skrytým rizikom

Užitočné zaťaženie druhej fázy s názvom 'growth' je x86_64 Mach-O binárny systém, ktorý funguje na zariadeniach Intel aj Apple Silicon vybavených emulačným rámcom Rosetta. Zabezpečuje stálosť úpravou skrytého konfiguračného súboru .zshenv v domovskom adresári používateľa, ktorý sa načítava počas relácií Zsh.

Na potvrdenie úspešnej infekcie a udržanie perzistencie vytvára malvér skrytý „dotykový súbor“ v adresári /tmp/, ktorý pomáha udržiavať užitočné zaťaženie aktívne aj po reštarte alebo prihlásení používateľa. Táto technika mu umožňuje obísť macOS 13 a novšie systémy detekcie perzistencie, ktoré zvyčajne upozorňujú používateľov na inštaláciu nových LaunchAgentov. Infikovaním systému škodlivým súborom Zshenv malvér vytvorí silnejšiu formu perzistencie. Hoci táto metóda nie je úplne nová, je to prvýkrát, čo ju výskumníci videli pri živých útokoch autorov škodlivého softvéru.

Po zakotvení v systéme sa zadné vrátka pripájajú k serveru Command-and-Control (C2) a každých 60 sekúnd kontroluje nové príkazy. Reťazec user-agent, ktorý používa, bol spojený s predchádzajúcimi útokmi pripisovanými BlueNoroff v roku 2023. Medzi pozorované príkazy patrí sťahovanie a spustenie dodatočných dát, spúšťanie príkazov shellu na zmenu alebo ukradnutie súborov alebo úplné zastavenie procesu.

Experti poznamenávajú, že kampaň Skryté riziko bola aktívna posledných 12 mesiacov, pričom využívala priamejší prístup phishingu, a nie typickú stratégiu „groomingu“ sociálnych médií, ktorú možno vidieť v iných operáciách severokórejských hackerov. Výskumníci tiež poukazujú na pokračujúcu schopnosť spoločnosti BlueNoroff zabezpečiť nové účty vývojárov Apple a nechať si notársky overiť ich užitočné zaťaženie, čo im umožňuje obísť ochranu macOS Gatekeeper.