Hidden Risk Malware
Kuzey Kore tehdit grubu BlueNoroff'un yeni kampanyası, macOS sistemlerini hedef alan karmaşık, çok aşamalı bir kötü amaçlı yazılım kullanarak kripto para birimi işletmelerine odaklanıyor. Araştırmacılar tarafından Gizli Risk olarak adlandırılan kampanya, kurbanları kripto para birimi piyasasındaki son gelişmeler hakkında uydurma haberler içeren e-postalarla cezbediyor. Bu saldırılarda yer alan kötü amaçlı yazılım, macOS'ta en son sistem güncellemeleri tarafından algılanmamak ve güvenlik uyarılarını etkili bir şekilde atlatmak için tasarlanmış yenilikçi bir kalıcılık tekniği kullanıyor.
BlueNoroff, kripto para hırsızlığıyla ün salmış bir siber suç grubudur ve daha önce macOS sistemlerini hedef almıştır. Geçmişteki saldırılarda, tehlikeye atılmış Mac'lerde uzak kabuklar kurmalarına olanak tanıyan ObjCShellz olarak bilinen bir yük kullanmışlardır.
Gizli Rusk Enfeksiyon Zinciri Nasıl Gerçekleşiyor?
Saldırı, kripto para birimiyle ilgili haberler içeriyor gibi görünen bir kimlik avı e-postasının iletilmesiyle başlar, genellikle güvenilirliğini artırmak için iyi bilinen bir kripto etkileyicisinden iletilen bir mesaj olarak sunulur. E-posta, önemli bilgiler içeren bir PDF'ye yönlendirdiği varsayılan bir bağlantı içerir, ancak aslında kurbanı saldırganlar tarafından kontrol edilen bir etki alanına, delphidigital.org'a yönlendirir.
Araştırmacılar, URL'nin şu anda başlıkları değişen zararsız bir Bitcoin ETF belgesini barındırdığını, ancak zaman zaman Bitcoin Fiyatındaki Yeni Artışın Arkasındaki Gizli Risk.app başlıklı güvenli olmayan bir uygulama paketinin ilk aşamasına yönlendirdiğini gözlemlediler.
Bu kampanya için tehdit aktörü, bir kılık değiştirme olarak Teksas Üniversitesi'nden meşru bir akademik makale kullandı. Saldırının ilk aşaması, Apple'ın o zamandan beri iptal ettiği geçerli bir Apple Geliştirici Kimliği olan 'Avantis Regtech Private Limited (2S8XHJ7948)' altında imzalanmış ve noter tasdikli bir dropper uygulamasını içeriyor.
Bir kez çalıştırıldığında, dropper bir Google Drive bağlantısından sahte bir PDF indirir ve kurbanın dikkatini dağıtmak için varsayılan PDF görüntüleyicisinde açar. Bu arada, saldırının bir sonraki aşaması matuaner.com'dan gizlice indirilir. Özellikle, saldırganlar, Apple'ın Uygulama Taşıma Güvenliği protokollerini etkili bir şekilde atlatarak, alan adlarına güvenli olmayan HTTP bağlantılarına izin vermek için uygulamanın Info.plist dosyasını değiştirmiştir.
Gizli Risk Tarafından İstismar Edilen Yeni Bir Kalıcılık Mekanizması
'Growth' adlı ikinci aşama yükü, Rosetta emülasyon çerçevesiyle donatılmış Intel ve Apple Silicon aygıtlarında çalışan bir x86_64 Mach-O ikilisidir. Zsh oturumları sırasında yüklenen kullanıcının ana dizinindeki gizli .zshenv yapılandırma dosyasını değiştirerek kalıcılığı sağlar.
Başarılı enfeksiyonu onaylamak ve kalıcılığı sürdürmek için kötü amaçlı yazılım, /tmp/ dizininde gizli bir 'dokunmatik dosya' oluşturur ve bu, yeniden başlatmalardan veya kullanıcı oturum açmalarından sonra bile yükün etkin kalmasına yardımcı olur. Bu teknik, genellikle yeni LaunchAgent'lar yüklendiğinde kullanıcıları uyaran macOS 13 ve sonraki sürümlerin kalıcılık algılama sistemlerini atlatmasına olanak tanır. Kötü amaçlı yazılım, sistemi kötü amaçlı bir Zshenv dosyasıyla enfekte ederek daha güçlü bir kalıcılık biçimi oluşturur. Bu yöntem tamamen yeni olmasa da araştırmacıların bunu kötü amaçlı yazılım yazarları tarafından canlı saldırılarda kullanıldığını ilk kez görmeleridir.
Sisteme yerleştikten sonra, arka kapı Komuta ve Kontrol (C2) sunucusuna bağlanarak her 60 saniyede bir yeni komutları kontrol eder. Kullandığı kullanıcı aracısı dizesi, 2023'te BlueNoroff'a atfedilen önceki saldırılarla ilişkilendirilmiştir. Gözlemlenen komutlar arasında ek yükleri indirme ve yürütme, dosyaları değiştirmek veya çalmak için kabuk komutları çalıştırma veya işlemi tamamen durdurma yer alır.
Uzmanlar, Gizli Risk kampanyasının son 12 aydır aktif olduğunu ve diğer Kuzey Kore hacker operasyonlarında görülen tipik sosyal medya 'hazırlık' stratejisinden ziyade daha doğrudan bir kimlik avı yaklaşımı benimsediğini belirtiyor. Araştırmacılar ayrıca BlueNoroff'un yeni Apple geliştirici hesaplarını güvence altına alma ve yüklerini noter tasdik ettirme konusundaki devam eden yeteneğine dikkat çekiyor ve bu sayede macOS Gatekeeper korumalarını aşabiliyorlar.
