朝鲜黑客使用Mac恶意软件攻击加密公司

“NimDoor”,展示了朝鲜黑客组织使用的新战术(照片:x @CryptoNewsHntrs)

雅加达 - 据报道,与朝鲜有关联的黑客正在使用专门针对macOS的先进恶意软件来针对Web3和加密公司。恶意软件是通过Zoom的虚假邀请传播的,旨在窃取敏感数据并避免标准安全系统检测。

SentinelOne Labs的 一份报告显示,这次攻击使用多层方法,涉及社交工程技术,恶意的AppleScript和使用Nim编程语言编译的二元文件 - macOS中很少使用的语言,使得检测过程复杂化。

名为“NimDoor”的网络活动展示了朝鲜黑客组织用来渗透安全系统并从加密行业公司窃取数据的新策略。

持续攻击

攻击通常从社交工程开始。攻击者通过Telegram应用程序伪装成值得信赖的接触者,然后通过Calendly链接邀请受害者安排Zoom通话。

受害者收到一封网络钓鱼电子邮件,其中包含虚假的Zoom SDK更新文件,其形式是恶意的AppleScript,其中有数千行“包装”以避免检测。然后,此脚本从黑客拥有的服务器上下载了其他恶意软件,这些软件模仿了官方的Zoom域名。

研究人员发现了两个主要的二元文件 - 一个用C++写作,另一个用Nim写作 - 用于创建固定访问和窃取数据。

数据访问和盗用的先进技术

这些恶意软件在macOS中使用不寻常的方法,例如具有特殊访问权限的流程注入,通过WebSocket TLS(wss)加密通信以及基于信号的连续性机制。

此恶意软件如果用户尝试保密或系统重新启动时,将重新安装。为了窃取数据,此恶意软件使用Bash脚本提取浏览器历史记录,Keychain凭据和Telegram数据。

作为目标浏览器包括Arc,Brave,Firefox,Chrome和Microsoft Edge。事实上,此恶意软件正在使用加密的本地Telegram数据库进行离线黑客攻击。

利基连续性技术

为了在系统中生存,恶意软件利用macOS LaunchAgents,其名称类似于原始文件,例如“GoogIe LLC”(将小字母 “L” 替换为大字母 “i”,使其看起来像Google的文件。还有一份名为“CoreKitAgent”的文件,可以监视系统信号,并在停止时重新安装自己。

此恶意软件配备了反分析功能,例如10分钟的同步暂停,以避免沙盒内的检测。

攻击装置的演变

SentinelOne的说法,Nim语言的使用表明,黑客使用的工具的能力有所提高。Nim在编译和将开发者代码与运行时间代码相结合时运行代码的能力使得统计分析变得困难。

基于AppleScript的海报允许轻度远程控制,而无需使用更容易被安全系统检测的重型漏洞框架。

自己免受NimDoor侵害的方法

1. 不要运行通过可疑电子邮件或消息收到的脚本或软件更新,即使它看起来来自可靠的联系人。

2. 仔细检查URL,因为黑客经常使用模拟域名。

3. 始终将macOS 系统和应用程序更新到最新版本,以弥补安全漏洞。

4. 使用可靠的端点安全应用程序,可以检测流程注入、恶意AppleScript 或可疑启动器代理。

5.定期检查项目登录和启动代理,以检测未经授权的帖子。

6.使用强有和独特的密码,并在任何可用的地方激活双因素身份验证(2FA)。