Попуст за више лиценци
Тхреат Датабасе Напредна трајна претња (АПТ) JINX-0164 Претња актеру

JINX-0164 Претња актеру

До Mezo. у Напредна трајна претња (АПТ), Малваре, Мобиле Малваре
Преведи на:

Претходно недокументовани актер претње идентификован као JINX-0164 оркестрирао је високо циљану сајбер кампању против криптовалутарних организација, користећи социјални инжењеринг са темом регрутовања и прилагођени малвер за macOS како би украо дигиталну имовину. Активна најмање од средине 2025. године, финансијски мотивисана група се у великој мери фокусирала на програмере и, у најмање једном потврђеном инциденту, извршила је компромитовање ланца снабдевања софтвером.

Кампања демонстрира напредну комбинацију обмањујућих тактика регрутовања, распоређивања злонамерног софтвера и дубоке инфилтрације CI/CD окружења. Компромитовањем радних станица запослених, нападачи су се успешно померили латерално у развојну инфраструктуру и системе за дистрибуцију кода, значајно повећавајући обим и утицај упада.

Преваре при регрутовању постају улазна тачка

JINX-0164 се ослања на убеђивање LinkedIn персона да успоставе контакт са циљаним програмерима и запосленима који раде у организацијама везаним за криптовалуте. Жртве се позивају да учествују у виртуелним састанцима који се одржавају на лажним доменима који се представљају као легитимне платформе за телеконференције.

Током процеса лажног подешавања састанка, циљевима се налаже да преузму оно што изгледа као клијент за састанак или техничко решење. У стварности, преузета датотека покреће ланац инфекције преузимањем тројанског коња за крађу информација за macOS заснованог на Пајтону и даљински приступ, познатог као AUDIOFIX, са лажног домена за дистрибуцију драјвера, „apple.driver-store.com“.

Процес инфекције се олакшава помоћу bash скрипте која је способна да идентификује системску архитектуру жртве, омогућавајући злонамерном софтверу да беспрекорно ради и на Intel и на Apple Silicon macOS уређајима. Корисни терет се маскира као системски аудио драјвер под називом „coreaudiod“, локално се чува као „ChromeUpdater“ и покреће се помоћу macOS launchctl механизама ради одржавања трајности.

AUDIOFIX омогућава дубинско компромитовање система

Једном постављен, AUDIOFIX обавља опсежне операције крађе акредитива и извиђања, а истовремено подржава латерално кретање у интерну инфраструктуру. Истраживачи су приметили да се злонамерни софтвер користи за убризгавање злонамерних корисних садржаја у развојне системе и модификовање изворног кода у покушају да се компромитују додатне крајње тачке и прикупе акредитиви криптовалутних новчаника.

Злонамерни софтвер је способан да украде широк спектар осетљивих информација, укључујући:

  • Акредитиви за менаџер лозинки, подаци прегледача, датотеке iCloud Keychain-а, SSH кључеви, акредитиви администратора, записи историје конзоле и конфигурационе датотеке
  • Адресе криптовалутних новчаника, подаци о екстензијама прегледача повезани са крипто сервисима и активне сесије са Discord-а, Slack-а и Telegram-а

Поред крађе информација, AUDIOFIX такође подржава даљинско извршавање команди, брисање датотека, испоруку корисног терета, извиђачке активности и крађу података из заражених система.

МиниРАТ проширује претњу злоупотребом ланца снабдевања

Још једна важна компонента операције је MiniRAT, задња врата базирана на Go-у повезана са компромитованим npm пакетом под називом „@velora-dex/sdk“. Пакет је био повезан са легитимним децентрализованим финансијским алатима који се користе за размену токена, делта трговање и лимит налоге на платформи VeloraDEX.

Злонамерна верзија пакета је преузела шел скрипту са удаљеног сервера, на крају инсталирајући бинарну датотеку MiniRAT специфичну за macOS. Једном инсталиран, малвер је омогућио нападачима да отпремају датотеке, извршавају произвољне шел команде и преузимају додатне корисне податке са инфраструктуре коју контролише нападач.

JINX-0164 је више пута поново користио тактике социјалног инжењеринга које укључују лажне могућности регрутовања и измишљене техничке проблеме који захтевају од жртава да инсталирају лажне софтверске исправке. Ова доследна методологија истиче снажан нагласак групе на људској манипулацији као примарном вектору упада.

Могуће везе са севернокорејским сајбер операцијама

Неколико карактеристика кампање подсећа на активности које су раније биле повезане са севернокорејским групама за сајбер претње као што су BlueNoroff, Contagious Interview и UNC1069. Истраживачи су приметили сличности у обрасцима циљања, лажним доменима и коришћењу VPN услуга као што је Astrill VPN.

Упркос овим преклапањима, истражитељи нису идентификовали никакве потврђене инфраструктурне везе које директно повезују JINX-0164 са операцијама које спонзорише севернокорејска држава. Тренутни докази указују на оперативне сличности, а не на дефинитивну атрибуцију.

У тренду

Превара путем е-поште о надоградњи услуге поштанског...

Пецање, Спам
Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом. Сајбер криминалци редовно прикривају фишинг кампање као рутинска безбедносна упозорења или обавештења о услугама у покушају да украду осетљиве информације. Такозвани имејлови „Надоградња услуге поштанског сандучета“ су део једне такве преваре и нису повезани ни са једним легитимним добављачем имејла, компанијом,...

Најгледанији

Учитавање...