Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) JINX-0164 Grožnji

JINX-0164 Grožnji

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema, Mobilna zlonamerna programska oprema
Prevedi v:

Prej nedokumentirani akter grožnje, identificiran kot JINX-0164, je orkestriral zelo ciljno usmerjeno kibernetsko kampanjo proti organizacijam za kriptovalute, pri čemer je za krajo digitalnih sredstev uporabljal socialni inženiring z namenom novačenja in posebej izdelano zlonamerno programsko opremo za macOS. Finančno motivirana skupina, ki je aktivna vsaj od sredine leta 2025, se je močno osredotočila na razvijalce in v vsaj enem potrjenem incidentu izvedla kompromitacijo dobavne verige programske opreme.

Kampanja prikazuje napredno kombinacijo zavajajočih taktik novačenja, nameščanja zlonamerne programske opreme in globoke infiltracije v okolja CI/CD. Z ogrožanjem delovnih postaj zaposlenih so se napadalci uspešno premaknili lateralno v razvojno infrastrukturo in sisteme za distribucijo kode, kar je znatno povečalo obseg in vpliv vdorov.

Goljufije pri zaposlovanju postanejo vstopna točka

JINX-0164 se zanaša na prepričevanje uporabnikov LinkedIna, da vzpostavijo stik s ciljnimi razvijalci in zaposlenimi, ki delajo v organizacijah, povezanih s kriptovalutami. Žrtve so povabljene k sodelovanju na virtualnih srečanjih, ki se gostijo na goljufivih domenah, ki se izdajajo za legitimne platforme za telekonference.

Med ponarejenim postopkom nastavitve sestanka so tarče poučene, naj prenesejo nekaj, kar je videti kot odjemalec sestanka ali tehnična popravitev. V resnici prenesena datoteka sproži verigo okužbe tako, da iz ponarejene domene za distribucijo gonilnikov »apple.driver-store.com« pridobi program za krajo informacij za macOS, ki temelji na Pythonu, in trojanski konj za oddaljeni dostop, znan kot AUDIOFIX.

Proces okužbe omogoča bash skript, ki lahko prepozna sistemsko arhitekturo žrtve, kar omogoča nemoteno delovanje zlonamerne programske opreme na napravah macOS, ki temeljijo na Intelovih procesorjih, in na napravah Apple Silicon. Delovna sila se prikrije kot gonilnik sistemskega zvoka z imenom »coreaudiod«, je lokalno shranjen kot »ChromeUpdater« in se zažene z mehanizmi macOS launchctl za ohranjanje delovanja.

AUDIOFIX omogoča globoko sistemsko ogrožanje

Ko je AUDIOFIX enkrat nameščen, izvaja obsežne operacije kraje poverilnic in izvidovanja, hkrati pa podpira lateralno premikanje v notranjo infrastrukturo. Raziskovalci so opazili, da se zlonamerna programska oprema uporablja za vbrizgavanje zlonamernih koristnih vsebin v razvojne sisteme in spreminjanje izvorne kode z namenom ogrožanja dodatnih končnih točk in pridobivanja poverilnic kriptovalutnih denarnic.

Zlonamerna programska oprema lahko ukrade širok nabor občutljivih informacij, vključno z:

  • Poverilnice upravitelja gesel, podatki brskalnika, datoteke iCloud Keychain, ključi SSH, poverilnice skrbnika, zapisi zgodovine konzole in konfiguracijske datoteke
  • Naslovi denarnic za kriptovalute, podatki razširitev brskalnika, povezani s kripto storitvami, in aktivne seje iz Discorda, Slacka in Telegrama

Poleg kraje informacij AUDIOFIX podpira tudi oddaljeno izvajanje ukazov, brisanje datotek, dostavo koristnega tovora, izvidniške dejavnosti in izkrcanje podatkov iz okuženih sistemov.

MiniRAT širi grožnjo z zlorabo dobavne verige

Druga pomembna komponenta operacije je MiniRAT, zadnja vrata, ki temeljijo na Go in so povezana z ogroženim npm paketom z imenom '@velora-dex/sdk'. Paket je bil povezan z legitimnim kompletom orodij za decentralizirane finance, ki se uporablja za zamenjave žetonov, delta trgovanje in omejena naročila na platformi VeloraDEX.

Zlonamerna različica paketa je pridobila skript lupine z oddaljenega strežnika in na koncu namestila binarno datoteko MiniRAT, specifično za macOS. Ko je bila zlonamerna programska oprema nameščena, je napadalcem omogočila nalaganje datotek, izvajanje poljubnih ukazov lupine in prenos dodatnih koristnih podatkov iz infrastrukture, ki jo je nadzoroval napadalec.

JINX-0164 je večkrat uporabil taktike socialnega inženiringa, ki vključujejo lažne priložnosti za novačenje in izmišljene tehnične težave, zaradi katerih so žrtve morale namestiti goljufive popravke programske opreme. Ta dosledna metodologija poudarja močan poudarek skupine na človeški manipulaciji kot primarnem vektorju vdora.

Možne povezave s severnokorejskimi kibernetskimi operacijami

Več značilnosti kampanje spominja na dejavnosti, ki so bile prej povezane s severnokorejskimi skupinami za kibernetske grožnje, kot so BlueNoroff, Contagious Interview in UNC1069. Raziskovalci so opazili podobnosti v vzorcih ciljanja, lažnih domenah in uporabi storitev VPN, kot je Astrill VPN.

Kljub tem prekrivanjem preiskovalci niso odkrili nobenih potrjenih infrastrukturnih povezav, ki bi JINX-0164 neposredno povezovale z operacijami, ki jih sponzorira severnokorejska država. Trenutni dokazi kažejo na operativne podobnosti in ne na dokončno pripisovanje.

V trendu

Nadgradnja storitve poštnega nabiralnika - prevara z...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo takojšnje ukrepanje, je treba vedno obravnavati previdno. Kibernetski kriminalci redno prikrivajo kampanje lažnega predstavljanja kot rutinska varnostna opozorila ali obvestila storitev, da bi ukradli občutljive podatke. Tako imenovana e-poštna sporočila o nadgradnji storitve poštnega nabiralnika so del ene takšnih prevar in niso povezana z nobenim...

Najbolj gledan

Nalaganje...