Šiaurės Korėjos grėsmių veikėjas „BlueNoroff“ nusitaikė į kriptovaliutų verslą, naudodamas naują daugiapakopę kenkėjišką programą „MacOS“ sistemoms.
Mokslininkai kampaniją vadina Hidden Risk ir teigia, kad ji aukas vilioja elektroniniais laiškais, kuriuose dalijamasi netikromis naujienomis apie naujausią veiklą kriptovaliutų sektoriuje.
Šių atakų metu įdiegta kenkėjiška programa remiasi nauju „MacOS“ išlikimo mechanizmu, kuris nesukelia jokių įspėjimų apie naujausias operacinės sistemos versijas ir taip išvengia aptikimo.
„BlueNoroff“ yra žinoma dėl kriptovaliutų vagysčių ir anksčiau taikėsi „MacOS“, naudodama naudingą kenkėjišką programą „ObjCShellz“, kad atidarytų nuotolinius apvalkalus pažeistuose „Mac“ kompiuteriuose.
Infekcijos grandinė
Atakos prasideda nuo sukčiavimo el. laiškų, kuriuose pateikiamos su kriptovaliutos susijusios naujienos ir temos, kurios atrodo taip, tarsi būtų persiųstos kriptovaliutų įtakos kūrėjo, kad padidintų patikimumą.
Pranešime pateikiama nuoroda, skirta nuskaityti su informacija susijusį PDF failą, tačiau nurodomas „delphidigital(.)org“ domenas, kurį valdo užpuolikai.
Anot „SentinelLabs“ tyrėjų, „URL šiuo metu pateikiama gerybinė Bitcoin ETF dokumento forma, kurios pavadinimai bėgant laikui skiriasi“, tačiau kartais jis aptarnauja pirmąjį kenkėjiškų programų paketo etapą, vadinamą „Paslėpta rizika už naujo Bitcoin kainos padidėjimo“. programėlė“.
Tyrėjai teigia, kad „Hidden Risk“ kampanijai grėsmės veikėjas panaudojo tikro akademinio dokumento iš Teksaso universiteto kopiją.
Šaltinis: SentinelLabs
Pirmasis etapas yra lašintuvo programėlė, pasirašyta ir notariškai patvirtinta naudojant galiojantį „Apple“ kūrėjo ID „Avantis Regtech Private Limited (2S8XHJ7948), kurį „Apple“ dabar atšaukė.
Vykdydamas lašintuvą, jis atsisiunčia jauko PDF iš „Google“ disko nuorodos ir atidaro jį numatytojoje PDF peržiūros priemonėje, kad atitrauktų auką. Tačiau fone kitos pakopos naudingoji apkrova atsisiunčiama iš „matuaner(.)com“.
Šaltinis: SentinelLabs
Pažymėtina, kad įsilaužėliai manipuliavo programos „Informacija“. plist“ failą, kad būtų galima užmegzti nesaugius HTTP ryšius su užpuoliko valdomu domenu, iš esmės nepaisydamas „Apple“ programų transportavimo saugos politikos.
Šaltinis: SentinelLabs
Pagrindinės užpakalinės durys ir naujas patvarumo mechanizmas
Antrosios pakopos naudingoji apkrova, vadinama „augimu“, yra x86_64 Mach-O dvejetainis failas, veikiantis tik „Intel“ ir „Apple“ silicio įrenginiuose, turinčiuose „Rosetta“ emuliacijos sistemą.
Sistema išliks pakeitusi „.zshenv“ konfigūracijos failą, kuris yra paslėptas vartotojo namų kataloge ir įkeliamas Zsh seansų metu.
Šaltinis: SentinelLabs
Kenkėjiška programa įdiegia paslėptą „liečiamąjį failą“ /tmp/ kataloge, kad pažymėtų sėkmingą užkrėtimą ir išlikimą, užtikrindama, kad naudingoji apkrova išliktų aktyvi perkrovimo ir vartotojo seansų metu.
Šis metodas leidžia apeiti patvarumo aptikimo sistemas, kurias „Apple“ pristatė „macOS 13“ ir naujesnėse versijose, kurios įspėja vartotojus pranešimais, kai jų sistemoje yra įdiegtos „LaunchAgents“.
„Pagrindinio kompiuterio užkrėtimas kenkėjišku Zshenv failu leidžia pasiekti galingesnę išlikimo formą“, – aiškina „SentinelLabs“.
„Nors ši technika nėra nežinoma, pirmą kartą pastebėjome, kad kenkėjiškų programų autoriai ją naudoja laukinėje gamtoje.
Įdėjus į sistemą, užpakalinės durys jungiasi su komandų ir valdymo (C2) serveriu ir kas 60 sekundžių tikrina, ar nėra naujų komandų. Tam naudojama vartotojo agento eilutė anksčiau buvo pastebėta 2023 m. atakose, priskirtose BlueNoroff.
Stebėtos komandos yra skirtos papildomiems naudingiesiems kroviniams atsisiųsti ir vykdyti, apvalkalo komandoms valdyti ar išfiltruoti failus arba išeiti (sustabdyti procesą).
„SentinelLabs“ teigia, kad kampanija „Paslėpta rizika“ buvo vykdoma maždaug pastaruosius 12 mėnesių, taikant tiesioginį sukčiavimo metodą, kuris neapima tipiško „viliojimo“ socialinėje žiniasklaidoje, kuriuo užsiima kiti KLDR įsilaužėliai.
Tyrėjai taip pat pažymi, kad „BlueNoroff“ parodė nuoseklų gebėjimą gauti naujų „Apple“ kūrėjų paskyrų ir gauti notaro patvirtintą jų naudingąją apkrovą, kad būtų galima apeiti „macOS Gatekeeper“.