Hidden Risk Malware

Một chiến dịch mới của nhóm tin tặc Triều Tiên BlueNoroff đang tập trung vào các doanh nghiệp tiền điện tử, sử dụng phần mềm độc hại nhiều giai đoạn tinh vi nhắm vào các hệ thống macOS. Được các nhà nghiên cứu gọi là Hidden Risk, chiến dịch này dụ dỗ nạn nhân bằng các email có chứa tin tức bịa đặt về những diễn biến gần đây trên thị trường tiền điện tử. Phần mềm độc hại liên quan đến các cuộc tấn công này sử dụng một kỹ thuật duy trì sáng tạo trên macOS, được thiết kế để không bị phát hiện bởi các bản cập nhật hệ thống mới nhất, qua đó bỏ qua các cảnh báo bảo mật một cách hiệu quả.

BlueNoroff là một nhóm tội phạm mạng khét tiếng về hành vi trộm cắp tiền điện tử và trước đây đã nhắm vào các hệ thống macOS. Trong các cuộc tấn công trước đây, chúng đã sử dụng một tải trọng được gọi là ObjCShellz, cho phép chúng thiết lập shell từ xa trên các máy Mac bị xâm nhập.

Chuỗi lây nhiễm Rusk ẩn được thực hiện như thế nào

Cuộc tấn công bắt đầu bằng việc gửi một email lừa đảo có vẻ như chứa tin tức liên quan đến tiền điện tử, thường được trình bày dưới dạng tin nhắn được chuyển tiếp từ một người có ảnh hưởng trong lĩnh vực tiền điện tử nổi tiếng để tạo độ tin cậy. Email bao gồm một liên kết, được cho là dẫn đến tệp PDF có thông tin quan trọng, nhưng thực tế lại dẫn nạn nhân đến một tên miền do kẻ tấn công kiểm soát, delphidigital.org.

Các nhà nghiên cứu đã quan sát thấy rằng URL hiện đang lưu trữ phiên bản vô hại của tài liệu Bitcoin ETF, với các tiêu đề thay đổi, mặc dù đôi khi nó dẫn đến giai đoạn đầu tiên của một gói ứng dụng không an toàn có tên là Rủi ro tiềm ẩn đằng sau đợt tăng giá Bitcoin mới.app.

Đối với chiến dịch này, tác nhân đe dọa đã sử dụng một bài báo học thuật hợp lệ từ Đại học Texas làm vỏ bọc. Giai đoạn đầu tiên của cuộc tấn công liên quan đến một ứng dụng dropper, được ký và công chứng theo ID nhà phát triển Apple hợp lệ, 'Avantis Regtech Private Limited (2S8XHJ7948),' mà Apple đã thu hồi.

Sau khi thực hiện, dropper tải xuống một PDF giả mạo từ liên kết Google Drive và mở nó trong trình xem PDF mặc định để đánh lạc hướng nạn nhân. Trong khi đó, giai đoạn tiếp theo của cuộc tấn công được tải xuống bí mật từ matuaner.com. Đáng chú ý, những kẻ tấn công đã thay đổi tệp Info.plist của ứng dụng để cho phép kết nối HTTP không an toàn đến tên miền của chúng, bỏ qua hiệu quả các giao thức App Transport Security của Apple.

Một cơ chế bền bỉ mới được khai thác bởi rủi ro tiềm ẩn

Tải trọng giai đoạn thứ hai, có tên là 'growth', là tệp nhị phân Mach-O x86_64 hoạt động trên cả thiết bị Intel và Apple Silicon được trang bị khung mô phỏng Rosetta. Nó đảm bảo tính bền bỉ bằng cách sửa đổi tệp cấu hình .zshenv ẩn trong thư mục gốc của người dùng, tệp này tải trong các phiên Zsh.

Để xác nhận sự lây nhiễm thành công và duy trì tính dai dẳng, phần mềm độc hại tạo ra một 'tệp cảm ứng' ẩn trong thư mục /tmp/, giúp giữ cho tải trọng hoạt động ngay cả sau khi khởi động lại hoặc người dùng đăng nhập. Kỹ thuật này cho phép nó bỏ qua các hệ thống phát hiện tính dai dẳng của macOS 13 trở lên, thường cảnh báo người dùng khi LaunchAgents mới được cài đặt. Bằng cách lây nhiễm hệ thống bằng tệp Zshenv độc hại, phần mềm độc hại thiết lập một dạng dai dẳng mạnh hơn. Mặc dù phương pháp này không hoàn toàn mới, nhưng đây là lần đầu tiên các nhà nghiên cứu thấy nó được sử dụng trong các cuộc tấn công trực tiếp của tác giả phần mềm độc hại.

Sau khi đã bám rễ trong hệ thống, backdoor sẽ kết nối với máy chủ Command-and-Control (C2), kiểm tra các lệnh mới sau mỗi 60 giây. Chuỗi tác nhân người dùng mà nó sử dụng đã được liên kết với các cuộc tấn công trước đó được cho là do BlueNoroff thực hiện vào năm 2023. Các lệnh được quan sát bao gồm tải xuống và thực thi các tải trọng bổ sung, chạy lệnh shell để thay đổi hoặc đánh cắp tệp hoặc dừng hoàn toàn quá trình.

Các chuyên gia lưu ý rằng chiến dịch Hidden Risk đã hoạt động trong 12 tháng qua, sử dụng phương pháp lừa đảo trực tiếp hơn là chiến lược 'chải chuốt' truyền thông xã hội thông thường được thấy trong các hoạt động tin tặc khác của Triều Tiên. Các nhà nghiên cứu cũng chỉ ra khả năng liên tục của BlueNoroff trong việc bảo mật tài khoản nhà phát triển Apple mới và công chứng các dữ liệu của họ, cho phép họ bỏ qua các biện pháp bảo vệ của macOS Gatekeeper.