Nimdoor MacOS Kötü Yazılım, Anahtarlık Kimlik Bilgilerini Çalmak İçin Zoom SDK güncellemelerini kötüye kullanır


Sentinelone araştırmacıları, Bitcoin endüstrisini hedefleyen siber tehditlerde kayda değer bir artışla Kuzey Kore’ye bağlı saldırganlara, büyük olasılıkla Stardust Chollima çetesine atfedilen sofistike bir macOS kötü amaçlı yazılım kampanyası olan Nimdoor’u keşfettiler.

En azından Nisan 2025’ten beri aktif olan Nimdoor, Web3 ve kripto organizasyonlarına sızmak için Zoom SDK güncellemeleri olarak maskelenerek sosyal mühendislik taktiklerini kullanır ve sonuçta anahtarlık kimlik bilgileri, tarayıcı geçmişleri ve telgraf kullanıcı bilgileri gibi hassas verileri dışarı atmayı amaçlar.

Hedef Web3 ve kripto kuruluşları

Kötü amaçlı yazılımın adı, NIM derlenmiş ikili dosyalara karşı ağır güveninden kaynaklanmaktadır, bu da dilin geliştirici ve çalışma zamanı koduna derleme zamanı yürütülmesini kullanan, böylece statik analizi ve kaçan algılamayı gizleyen macOS tehditleri için nadir bir seçimden kaynaklanmaktadır.

Polyswarm raporuna göre, bu yaklaşım Kuzey Koreli aktörlerin Go ve Rust gibi dillerle önceki deneyleri üzerinde, yüksek değerli hedeflere karşı saldırgan yeteneklerinde bir evrim işaret ediyor.

Enfeksiyon zinciri, saldırganların telgrafla güvenilir temasları taklit etmesiyle başlar ve kurbanları Calendly aracılığıyla zoom toplantıları planlamaya çeker.

Mağdurlar daha sonra yorumlarında ince bir yazım hatası (“zoom” yerine “zook”) ile tanımlanabilen bir “Zoom SDK güncellemesi” olarak gizlenmiş kötü niyetli bir elma metni içeren kimlik avı e -postaları alırlar.

Yürütme üzerine, komut dosyası iki Mach-O ikili dosyasını dağıtır: veri hırsızlığına odaklanan yüklerin şifresini çözmek ve yürütmek için C ++ tabanlı bir bileşen ve kalıcılık mekanizmalarını ekleyen NIM derlenmiş bir “yükleyici”.

Bunlar, sistem başlatılmasında otomatik yürütme sağlamak için bir Launchagent Pist dosyası aracılığıyla yapılandırılan “googie LLC” (kasıtlı olarak yanlış yazılmış) ve “Cekekitagent” gibi meşru süreçler olarak maskelenmeyi içerir.

NIM dilinin gelişmiş kullanımı

Nimdoor’un teknik karmaşıklığı, enjeksiyonu işlemek için uzanıyor MacOS üzerinde nadir görülen bir teknik, gizli operasyonlar için meşru süreçleri kaçırmasını sağlıyor.

Komut ve kontrol (C2) iletişimi, TLS ile şifreli WebSocket (WSS) kanalları üzerinde, onaltılık bir elma metnini, ciltli C2 sunucularına 30 saniyede bir işaret ederek gerçekleştirir.

Bu arka kapı işlevselliği, yanal hareket ve keşifleri kolaylaştırarak uzaktan komut dosyası yürütülmesine ve çalıştırma işlemi listelerinin yayılmasına izin verir.

Özellikle yeni bir özellik, MACOS platformlarında türünün ilk kalıcılık yöntemini temsil eden, kapatma veya yeniden başlatma üzerine kötü amaçlı yazılımların yeniden yüklenmesini tetiklemek için sonlandırma sinyallerini kesen Sigint/Sigterm sinyal işleyicisidir.

Gömülü BASH komut dosyaları, Nimdoor’un veri hırsızlığı özelliklerini daha da geliştirir, MacOS anahtarından kimlik bilgilerini sistematik olarak çıkarır, Chrome, Firefox, Cesur, ARC ve Edge dahil olmak üzere popüler uygulamalardan verilere göz atar.

Saldırganlar, uzlaşma sırasında kurban şüphesini düşürmek için meşru zoom çağrılarını planlamak gibi dikkat dağıtıcı unsurlar içerir.

Sosyal mühendislik ve gelişmiş kötü amaçlı yazılım mühendisliğinin bu karışımı Stardust Chollima’nın (TA444, APT38 veya Bluenoroff olarak da bilinir) modus operandi’nin altını çiziyor.

Kuzey Kore Keşif Bürosu altındaki Lazarus Grubu’nun bir alt birimi olarak, grup 2014’ten beri yaptırımları atlatmak için kripto para hırsızlığı yoluyla finansal kazanımlara odaklanıyor.

Taktikleri genellikle ABD, Avrupa ve Asya’daki, özellikle Güney Kore ve Japonya’daki varlıkları hedefleyen mızrak aktı, derin dişler ve güvenlik açığı sömürüsünü içerir.

Nimdoor’un ortaya çıkışı, kripto alanındaki macOS ekosistemleri için artan tehdidi vurgular, organizasyonları sağlam uç nokta algılamasını uygulamaya, üçüncü taraf güncellemeleri incelemeye ve anormal sinyal işleme veya websocket trafiğini izlemeye çağırır.

Analistler, telgraf gibi platformlarda kimliğe bürünmeye karşı uyanıklık ve bu tür hedefli saldırıları azaltmak için yazılım kaynaklarının doğrulanması öneriyor.

Uzlaşma Göstergeleri (IOCS)

Sha-256 karma
BCEF50A375C8B4EDBE7C80E220C1B52F52CE379768FEC3527D31C1D51138FC
0d1e3a9e6f3211b7e3372d736e9a2e6be363fc7c100b90bf7e1e9bee1e330df
9C48E2A01D852E08F923A4638EF391B6F89F26358CF2164BF1630C8320798C1
E6A7C54C0127ADCB2A180E62F0082DE1C13D61A913CDA379DD0F44A0D0567B
64c9347d794243be26e811b5eb90fb11c8e74e8aff504bf98481e5ccf9d72fe9
469fd8a280e89a6edd0d704d0be4c7e0e0d8d753e314e9ce205d7006b573865f
41660a23e5db77597994e17f9f73d02976f767276faf3b5bac0510807a9a36f
69a012ff46565169534ccefb175f8b3cc331b4f944444423c29a036ed771f4e
74CBEC210BA601CAEB063D44E510FC012075B65A0482D3FA2D2D08837649356A
EA8A58BBBB6D5614855A470B2D3630197E34FC372760B2B7AF27AF8F456525A6
7ffc83877389b8d201749d73b5e3706490070015522805696c9b94fa95ccb

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.



Source link