Los piratas de Corea del Norte con el apoyo del estado utilizaron una nueva familia de software Malicioso MacOS llamado Nimdoor en una campaña que se dirige a las organizaciones Web3 y criptomonedas.
Los investigadores que analizaron los cargos útiles descubrieron que el atacante se basaba en técnicas inusuales y un mecanismo de persistencia basado en la señal invisible.
La cadena de ataque, que consiste en contactar a las víctimas a través de Telegram y atraerlas a la gestión de una falsa actualización del SDK de Zoom, entregada por calendario y por correo electrónico, se asemeja a la plataforma de seguridad administrada por Huntress recientemente vinculada a Bluenoroff.
Malwowir avanzado macOS
En un informe hoy, los investigadores de la compañía de seguridad cibernética Sentinelon afirman que el actor de amenaza utilizó C ++ y NIM compilados (seguidos colectivamente como Nimdoor) en MacOS, que “es una elección más inusual”.
Uno de los binarios compiló a Nim, ‘instalador’, es responsable de la configuración y la estadificación iniciales, preparando los directorios y las rutas de configuración. También deja caer otros dos binarios – “Googie LLC”, “CoreKigent”en el sistema de la víctima.
Googie LLC se hace cargo de recopilar datos del entorno y generar un archivo de configuración codificado por HEX, escribiéndolo en una ruta temporal. Establece un macOS launagent (com.google.update.plist) para la persistencia, que relanza Googie LLC a las claves de autenticación de conexión y almacena para etapas posteriores.
El componente más avanzado utilizado en el ataque es CorekigentLa principal carga útil del marco Nimdoor, que funciona como un binario centrado en los eventos, utilizando el mecanismo de Kqueue MacOS para administrar la ejecución de manera asincrónica.
Implementa una máquina de estado a 10 casos con una tabla de transición de estado basada en dura, lo que permite un flujo de control flexible basado en las condiciones de ejecución.
La característica más distintiva son sus mecanismos de persistencia basados en la señal, donde instala gerentes personalizados para SIG y Sigterm.
Fuente: Sentinelabs
Estas son señales generalmente utilizadas para completar los procesos, pero cuando uno u otro es capturado, el núcleo del núcleo desencadena una rutina de reinstalación que vuelva a desplegar Googie LLC, restaurante la cadena de persistencia.
“Cuando se activa, Corekating atrapa estas señales y escribe la hoja de la bahía para su persistencia, una copia de Googie LLC como cargador y una copia de sí misma como troyano, que definen las autorizaciones ejecutables en los dos últimos a través de AdexueUtermissions_ustartup95Mainzutils_U32”, “,”, “,”, Explica los centinelabs.
“Este comportamiento garantiza que cualquier terminación iniciada por el usuario del malware conduzca a la implementación de los componentes principales, lo que hace que el código se resilice con acciones defensivas básicas”.
Fuente: Sentinelabs
CoreKigent Decode y ejecuta un Applecript codificado por HEX que reduce la infraestructura de ataque cada 30 segundos, exfiltra los datos del sistema y realiza comandos remotos a través de Osascript, proporcionando una puerta de fondo ligera.
Paralelo a la ejecución de Nimdoor ‘,zoom_sdk_support.scpt“Desencadena una segunda cadena de inyección que involucra”Trojan1_arm64‘, que inicia las comunicaciones C2 basadas en WSS y descargue dos scripts (UPL Y tlgrm) que facilitan el robo de datos.
En el caso del cargador ‘zoom_sdk_support.scpt’, los investigadores notaron que incluía más de 10,000 líneas virgen para fines oscuros.
UPL extrae navegadores web y ingresa al trousseau, .bash_history y .zsh_history, y exfilterlos[.]almacenar.
TLGRM se centra en el vuelo de la base de datos Telegram con .tempKeyEncrypted, probablemente los use para descifrar los mensajes que el objetivo intercambió en la plataforma.
Fuente: Sentinelabs
En general, el marco de Nimdoor y el resto de los baños que las rutas analizadas son locuras de las familias de malware de macOS más complejas vinculadas a los actores de la amenaza de Corea del Norte.
La modularidad del malware, que le da flexibilidad, y el uso de nuevas técnicas, como la persistencia basada en la señal, indica que los operadores de RPRC evolucionan su caja de herramientas para extender sus capacidades multiplataforma.
El informe Sentinellabs incluye indicadores de compromiso para dominios, rutas de archivos, scripts y personas binarias que el actor de amenaza de Corea del Norte utilizó en ataques destinados a robar activos de criptomonedas e información confidencial.
Si bien los ataques de nubes pueden volverse más sofisticados, los atacantes siempre tienen éxito con técnicas sorprendentemente simples.
Basado en las detecciones de Wiz en miles de organizaciones, este informe revela 8 técnicas clave utilizadas por los actores en amenazas de fluidos.