Sentinelone araştırmacıları, Bitcoin endüstrisini hedefleyen siber tehditlerde kayda değer bir artışla Kuzey Kore’ye bağlı saldırganlara, büyük olasılıkla Stardust Chollima çetesine atfedilen sofistike bir macOS kötü amaçlı yazılım kampanyası olan Nimdoor’u keşfettiler.
En azından Nisan 2025’ten beri aktif olan Nimdoor, Web3 ve kripto organizasyonlarına sızmak için Zoom SDK güncellemeleri olarak maskelenerek sosyal mühendislik taktiklerini kullanır ve sonuçta anahtarlık kimlik bilgileri, tarayıcı geçmişleri ve telgraf kullanıcı bilgileri gibi hassas verileri dışarı atmayı amaçlar.
Hedef Web3 ve kripto kuruluşları
Kötü amaçlı yazılımın adı, NIM derlenmiş ikili dosyalara karşı ağır güveninden kaynaklanmaktadır, bu da dilin geliştirici ve çalışma zamanı koduna derleme zamanı yürütülmesini kullanan, böylece statik analizi ve kaçan algılamayı gizleyen macOS tehditleri için nadir bir seçimden kaynaklanmaktadır.
Polyswarm raporuna göre, bu yaklaşım Kuzey Koreli aktörlerin Go ve Rust gibi dillerle önceki deneyleri üzerinde, yüksek değerli hedeflere karşı saldırgan yeteneklerinde bir evrim işaret ediyor.
Enfeksiyon zinciri, saldırganların telgrafla güvenilir temasları taklit etmesiyle başlar ve kurbanları Calendly aracılığıyla zoom toplantıları planlamaya çeker.
Mağdurlar daha sonra yorumlarında ince bir yazım hatası (“zoom” yerine “zook”) ile tanımlanabilen bir “Zoom SDK güncellemesi” olarak gizlenmiş kötü niyetli bir elma metni içeren kimlik avı e -postaları alırlar.
Yürütme üzerine, komut dosyası iki Mach-O ikili dosyasını dağıtır: veri hırsızlığına odaklanan yüklerin şifresini çözmek ve yürütmek için C ++ tabanlı bir bileşen ve kalıcılık mekanizmalarını ekleyen NIM derlenmiş bir “yükleyici”.
Bunlar, sistem başlatılmasında otomatik yürütme sağlamak için bir Launchagent Pist dosyası aracılığıyla yapılandırılan “googie LLC” (kasıtlı olarak yanlış yazılmış) ve “Cekekitagent” gibi meşru süreçler olarak maskelenmeyi içerir.
NIM dilinin gelişmiş kullanımı
Nimdoor’un teknik karmaşıklığı, enjeksiyonu işlemek için uzanıyor MacOS üzerinde nadir görülen bir teknik, gizli operasyonlar için meşru süreçleri kaçırmasını sağlıyor.
Komut ve kontrol (C2) iletişimi, TLS ile şifreli WebSocket (WSS) kanalları üzerinde, onaltılık bir elma metnini, ciltli C2 sunucularına 30 saniyede bir işaret ederek gerçekleştirir.
Bu arka kapı işlevselliği, yanal hareket ve keşifleri kolaylaştırarak uzaktan komut dosyası yürütülmesine ve çalıştırma işlemi listelerinin yayılmasına izin verir.
Özellikle yeni bir özellik, MACOS platformlarında türünün ilk kalıcılık yöntemini temsil eden, kapatma veya yeniden başlatma üzerine kötü amaçlı yazılımların yeniden yüklenmesini tetiklemek için sonlandırma sinyallerini kesen Sigint/Sigterm sinyal işleyicisidir.
Gömülü BASH komut dosyaları, Nimdoor’un veri hırsızlığı özelliklerini daha da geliştirir, MacOS anahtarından kimlik bilgilerini sistematik olarak çıkarır, Chrome, Firefox, Cesur, ARC ve Edge dahil olmak üzere popüler uygulamalardan verilere göz atar.
Saldırganlar, uzlaşma sırasında kurban şüphesini düşürmek için meşru zoom çağrılarını planlamak gibi dikkat dağıtıcı unsurlar içerir.
Sosyal mühendislik ve gelişmiş kötü amaçlı yazılım mühendisliğinin bu karışımı Stardust Chollima’nın (TA444, APT38 veya Bluenoroff olarak da bilinir) modus operandi’nin altını çiziyor.
Kuzey Kore Keşif Bürosu altındaki Lazarus Grubu’nun bir alt birimi olarak, grup 2014’ten beri yaptırımları atlatmak için kripto para hırsızlığı yoluyla finansal kazanımlara odaklanıyor.
Taktikleri genellikle ABD, Avrupa ve Asya’daki, özellikle Güney Kore ve Japonya’daki varlıkları hedefleyen mızrak aktı, derin dişler ve güvenlik açığı sömürüsünü içerir.
Nimdoor’un ortaya çıkışı, kripto alanındaki macOS ekosistemleri için artan tehdidi vurgular, organizasyonları sağlam uç nokta algılamasını uygulamaya, üçüncü taraf güncellemeleri incelemeye ve anormal sinyal işleme veya websocket trafiğini izlemeye çağırır.
Analistler, telgraf gibi platformlarda kimliğe bürünmeye karşı uyanıklık ve bu tür hedefli saldırıları azaltmak için yazılım kaynaklarının doğrulanması öneriyor.
Uzlaşma Göstergeleri (IOCS)
Sha-256 karma |
---|
BCEF50A375C8B4EDBE7C80E220C1B52F52CE379768FEC3527D31C1D51138FC |
0d1e3a9e6f3211b7e3372d736e9a2e6be363fc7c100b90bf7e1e9bee1e330df |
9C48E2A01D852E08F923A4638EF391B6F89F26358CF2164BF1630C8320798C1 |
E6A7C54C0127ADCB2A180E62F0082DE1C13D61A913CDA379DD0F44A0D0567B |
64c9347d794243be26e811b5eb90fb11c8e74e8aff504bf98481e5ccf9d72fe9 |
469fd8a280e89a6edd0d704d0be4c7e0e0d8d753e314e9ce205d7006b573865f |
41660a23e5db77597994e17f9f73d02976f767276faf3b5bac0510807a9a36f |
69a012ff46565169534ccefb175f8b3cc331b4f944444423c29a036ed771f4e |
74CBEC210BA601CAEB063D44E510FC012075B65A0482D3FA2D2D08837649356A |
EA8A58BBBB6D5614855A470B2D3630197E34FC372760B2B7AF27AF8F456525A6 |
7ffc83877389b8d201749d73b5e3706490070015522805696c9b94fa95ccb |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.