Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) JINX-0164 Hroziaci aktér

JINX-0164 Hroziaci aktér

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér, Mobilný malvér
Preložiť do:

Doteraz nezdokumentovaný aktér hrozby identifikovaný ako JINX-0164 zorganizoval cielenú kybernetickú kampaň proti organizáciám zaoberajúcim sa kryptomenami, pričom na krádež digitálnych aktív využíva sociálne inžinierstvo zamerané na nábor a na mieru vytvorený malvér pre macOS. Táto finančne motivovaná skupina, ktorá je aktívna minimálne od polovice roka 2025, sa vo veľkej miere zameriava na vývojárov a v najmenej jednom potvrdenom incidente vykonala kompromitáciu dodávateľského reťazca softvéru.

Kampaň demonštruje pokročilú kombináciu klamlivých náborových taktík, nasadzovania malvéru a hlbokej infiltrácie prostredí CI/CD. Napadnutím pracovných staníc zamestnancov sa útočníci úspešne presunuli do vývojovej infraštruktúry a systémov distribúcie kódu, čím výrazne zvýšili rozsah a dopad týchto útokov.

Náborové podvody sa stávajú vstupným bodom

JINX-0164 sa spolieha na presviedčanie používateľov na LinkedIn, aby nadviazali kontakt s cieľovými vývojármi a zamestnancami pracujúcimi v organizáciách súvisiacich s kryptomenami. Obete sú pozývané na účasť na virtuálnych stretnutiach organizovaných na podvodných doménach, ktoré sa vydávajú za legitímne telekonferenčné platformy.

Počas procesu falošného nastavenia schôdze sú ciele inštruované, aby si stiahli niečo, čo vyzerá ako klient schôdze alebo technická oprava. V skutočnosti stiahnutý súbor iniciuje reťazec infekcie získaním trójskeho koňa AUDIOFIX, ktorý je založený na jazyku Python a je určený na vzdialený prístup k macOS, z falošnej domény distribúcie ovládačov „apple.driver-store.com“.

Proces infikovania je uľahčený bash skriptom schopným identifikovať systémovú architektúru obete, čo umožňuje malvéru bezproblémovo fungovať na zariadeniach s procesormi Intel aj Apple Silicon so systémom macOS. Účelová dáta sa maskuje ako systémový zvukový ovládač s názvom „coreaudiod“, je uložený lokálne ako „ChromeUpdater“ a spúšťa sa pomocou mechanizmov launchctl v systéme macOS na zachovanie perzistencie.

AUDIOFIX umožňuje hlboké narušenie systému

Po nasadení vykonáva AUDIOFIX rozsiahle operácie krádeže poverení a prieskumu a zároveň podporuje laterálny pohyb do internej infraštruktúry. Výskumníci pozorovali, že malvér sa používa na vkladanie škodlivých údajov do vývojových systémov a úpravu zdrojového kódu s cieľom ohroziť ďalšie koncové body a získať poverenia kryptomenových peňaženiek.

Škodlivý softvér je schopný ukradnúť širokú škálu citlivých informácií vrátane:

  • Prihlasovacie údaje správcu hesiel, údaje prehliadača, súbory kľúčenky iCloud, kľúče SSH, prihlasovacie údaje správcu, záznamy histórie konzoly a konfiguračné súbory
  • Adresy kryptomenových peňaženiek, údaje o rozšíreniach prehliadača prepojené s krypto službami a aktívne relácie z Discordu, Slacku a Telegramu

Okrem krádeže informácií AUDIOFIX podporuje aj vzdialené vykonávanie príkazov, mazanie súborov, doručovanie užitočného zaťaženia, prieskumné činnosti a exfiltráciu údajov z infikovaných systémov.

MiniRAT rozširuje hrozbu zneužívaním dodávateľského reťazca

Ďalšou dôležitou súčasťou operácie je MiniRAT, backdoor založený na Go, ktorý je prepojený s kompromitovaným npm balíkom s názvom „@velora-dex/sdk“. Balík bol spojený s legitímnou sadou decentralizovaných finančných nástrojov používanou na swapy tokenov, delta obchodovanie a limitné príkazy na platforme VeloraDEX.

Škodlivá verzia balíka získala shell skript zo vzdialeného servera a nakoniec nasadila binárny súbor MiniRAT špecifický pre macOS. Po nainštalovaní malvér umožnil útočníkom nahrávať súbory, vykonávať ľubovoľné príkazy shellu a sťahovať ďalšie užitočné zaťaženie z infraštruktúry kontrolovanej útočníkom.

Skupina JINX-0164 opakovane používala taktiky sociálneho inžinierstva zahŕňajúce falošné náborové príležitosti a vymýšľanie technických problémov, ktoré od obetí vyžadovali inštaláciu podvodných softvérových opráv. Táto konzistentná metodika zdôrazňuje silný dôraz skupiny na manipuláciu s ľuďmi ako primárny vektor narušenia.

Možné prepojenia na severokórejské kybernetické operácie

Niekoľko charakteristík kampane pripomína aktivity, ktoré boli predtým spájané so severokórejskými skupinami zameranými na kybernetické hrozby, ako sú BlueNoroff, Contagious Interview a UNC1069. Výskumníci zaznamenali podobnosti vo vzorcoch cielenia, falošných doménach a používaní služieb VPN, ako je Astrill VPN.

Napriek týmto prekrývaniam vyšetrovatelia nenašli žiadne potvrdené infraštruktúrne prepojenia, ktoré by priamo spájali JINX-0164 s operáciami sponzorovanými severokórejským štátom. Súčasné dôkazy naznačujú skôr operačné podobnosti než definitívne priradenie.

Trendy

Podvod s e-mailom týkajúcim sa aktualizácie poštovej...

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú okamžitú akciu, by sa mali vždy brať opatrne. Kyberzločinci pravidelne maskujú phishingové kampane ako bežné bezpečnostné upozornenia alebo oznámenia služieb v snahe ukradnúť citlivé informácie. Takzvané e-maily s „Aktualizáciou služby poštovej schránky“ sú súčasťou jedného takéhoto podvodu a nie sú prepojené so žiadnym legitímnym poskytovateľom e-mailových...

Najviac videné

Načítava...