Hidden Risk Malware

朝鲜威胁组织 BlueNoroff 发起的新攻击活动针对加密货币业务，使用针对 macOS 系统的复杂多阶段恶意软件。研究人员将该攻击活动称为“隐藏风险”，它使用包含有关加密货币市场最新发展的虚假新闻的电子邮件来引诱受害者。参与这些攻击的恶意软件在 macOS 上采用创新的持久性技术，旨在不被最新的系统更新检测到，从而有效绕过安全警报。

BlueNoroff 是一个因盗窃加密货币而臭名昭著的网络犯罪组织，之前曾针对 macOS 系统发动攻击。在过去的攻击中，他们使用了一种名为 ObjCShellz 的有效载荷，这使他们能够在受感染的 Mac 上建立远程 shell。

隐藏的 Rusk 感染链是如何进行的

攻击始于发送一封看似包含加密货币相关新闻的钓鱼电子邮件，通常以知名加密货币影响者转发的消息的形式出现，以增加可信度。电子邮件中包含一个链接，据称会将受害者引导至包含重要信息的 PDF 文件，但实际上它会将受害者引导至攻击者控制的域名 delphidigital.org。

研究人员发现，该 URL 当前托管着一个无害版本的比特币 ETF 文档，其标题不断变化，但有时它会指向一个名为“比特币价格新一轮飙升背后的隐藏风险.app”的不安全应用程序包的第一阶段。

在这次活动中，威胁者使用了德克萨斯大学的一篇合法学术论文作为伪装。攻击的第一阶段涉及一个植入器应用程序，该应用程序使用有效的 Apple 开发者 ID“Avantis Regtech Private Limited (2S8XHJ7948)”签名和公证，但 Apple 现已撤销该 ID。

一旦执行，植入程序就会从 Google Drive 链接下载诱饵 PDF，并在默认 PDF 查看器中打开它，以分散受害者的注意力。与此同时，攻击的下一阶段是从 matuaner.com 秘密下载的。值得注意的是，攻击者已经修改了应用程序的 Info.plist 文件，以允许不安全的 HTTP 连接到他们的域，从而有效地绕过了 Apple 的应用程序传输安全协议。

隐藏风险利用的新型持久性机制

第二阶段有效载荷名为“growth”，是一个 x86_64 Mach-O 二进制文件，可在配备 Rosetta 仿真框架的 Intel 和 Apple Silicon 设备上运行。它通过修改用户主目录中隐藏的 .zshenv 配置文件来确保持久性，该文件在 Zsh 会话期间加载。

为了确认成功感染并保持持久性，恶意软件在 /tmp/ 目录中创建了一个隐藏的“touch 文件”，这有助于在重新启动或用户登录后保持有效负载处于活动状态。这种技术使其能够绕过 macOS 13 及更高版本的持久性检测系统，这些系统通常会在安装新的 LaunchAgents 时提醒用户。通过使用恶意 Zshenv 文件感染系统，恶意软件建立了更强的持久性形式。虽然这种方法并不完全是新的，但这是研究人员第一次看到恶意软件作者在实时攻击中使用这种方法。

一旦在系统中扎根，后门就会连接到命令和控制 (C2) 服务器，每 60 秒检查一次新命令。它使用的用户代理字符串与 2023 年归因于 BlueNoroff 的先前攻击有关。观察到的命令包括下载和执行其他有效负载、运行 shell 命令来更改或窃取文件，或者完全停止该过程。

专家指出，Hidden Risk 活动在过去 12 个月中一直很活跃，采取了更直接的网络钓鱼方式，而不是朝鲜其他黑客行动中常见的社交媒体“培养”策略。研究人员还指出，BlueNoroff 能够持续保护新的 Apple 开发者帐户并公证其有效载荷，从而使他们能够绕过 macOS Gatekeeper 保护。