Hidden Risk Malware

由北韓威脅組織 BlueNoroff 發起的一項新活動專注於加密貨幣業務，使用針對 macOS 系統的複雜多階段惡意軟體。該活動被研究人員稱為“隱藏風險”，透過包含有關加密貨幣市場近期發展的捏造新聞的電子郵件來引誘受害者。這些攻擊中涉及的惡意軟體在 macOS 上採用了創新的持久性技術，旨在不被最新的系統更新檢測到，從而有效地繞過安全警報。

BlueNoroff 是一個因竊取加密貨幣而臭名昭著的網路犯罪組織，此前曾針對 macOS 系統進行攻擊。在過去的攻擊中，他們使用了名為 ObjCShellz 的有效負載，這使得他們能夠在受感染的 Mac 上建立遠端 shell。

隱藏的麵包幹感染鍊是如何進行的

攻擊從發送一封似乎包含加密貨幣相關新聞的網路釣魚電子郵件開始，這些電子郵件通常以來自知名加密貨幣影響者的轉發訊息的形式出現，以增加其可信度。該電子郵件包含一個鏈接，據稱會指向包含重要信息的 PDF，但它實際上將受害者引導至攻擊者控制的域 delphidigital.org。

研究人員觀察到，該URL 目前託管著比特幣ETF 文件的無害版本，其標題不斷變化，儘管有時它會導致名為「比特幣價格新激增背後的隱藏風險」的不安全應用程式包的第一階段。

在這次活動中，威脅行為者使用德州大學的合法學術論文作為偽裝。攻擊的第一階段涉及一個滴管應用程序，該應用程式使用有效的 Apple 開發者 ID“Avantis Regtech Private Limited (2S8XHJ7948)”進行簽名和公證，但 Apple 現已撤銷該 ID。

執行後，植入程式會從 Google Drive 連結下載誘餌 PDF，並在預設 PDF 檢視器中開啟它，以分散受害者的注意力。同時，下一階段的攻擊是從 matuaner.com 秘密下載的。值得注意的是，攻擊者更改了應用程式的 Info.plist 文件，以允許與其網域進行不安全的 HTTP 連接，從而有效地繞過了 Apple 的應用程式傳輸安全協定。

隱藏風險利用的新型持久化機制

第二階段的有效負載名為“growth”，是一個 x86_64 Mach-O 二進位文件，可在配備 Rosetta 模擬框架的 Intel 和 Apple Silicon 設備上運行。它透過修改使用者主目錄中隱藏的 .zshenv 設定檔（該檔案在 Zsh 會話期間載入）來確保持久性。

為了確認成功感染並保持持久性，惡意軟體在 /tmp/ 目錄中建立一個隱藏的“觸控檔案”，這有助於即使在重新啟動或使用者登入後也能保持有效負載處於活動狀態。這種技術允許它繞過 macOS 13 及更高版本的持久性檢測系統，該系統通常會在安裝新的 LaunchAgent 時向使用者發出警報。透過使用惡意 Zshenv 檔案感染系統，惡意軟體建立了更強大的持久性形式。儘管這種方法並不是全新的，但這是研究人員第一次看到它被惡意軟體作者用於即時攻擊。

一旦在系統中紮根，後門就會連接到命令與控制 (C2) 伺服器，每 60 秒檢查一次新命令。它使用的用戶代理字串與 BlueNoroff 在 2023 年發起的攻擊有關。

專家指出，隱藏風險活動在過去 12 個月中一直很活躍，採用了更直接的網路釣魚方法，而不是北韓其他駭客行動中常見的典型社群媒體「誘騙」策略。研究人員還指出，BlueNoroff 持續能夠保護新的 Apple 開發者帳戶並對其有效負載進行公證，使他們能夠繞過 macOS Gatekeeper 保護。