Các tội phạm mạng Bắc Triều Tiên đã nhắm mục tiêu vào các công ty tiền mã hóa bằng cách sử dụng một loại phần mềm độc hại mới khai thác các thiết bị Apple trong một cuộc tấn công đa giai đoạn.
Các nhà nghiên cứu tại công ty an ninh mạng Sentinel Labs đã phát đi cảnh báo về chiến dịch này, sử dụng kỹ thuật kỹ thuật xã hội và các kỹ thuật bền bỉ tiên tiến để xâm nhập vào hệ thống macOS.
Phần mềm độc hại, được đặt tên là "NimDoor," được viết bằng ngôn ngữ lập trình Nim ít được biết đến và có khả năng né tránh các công cụ diệt virus truyền thống.
Theo Sentinel Labs, những kẻ tấn công bắt đầu liên lạc bằng cách giả mạo các cá nhân đáng tin cậy trên các nền tảng nhắn tin như Telegram. Các nạn nhân, trong trường hợp này có vẻ là nhân viên tại các công ty blockchain hoặc Web3, bị dụ vào các cuộc họp Zoom giả mạo qua các liên kết lừa đảo và được chỉ dẫn cài đặt một bản cập nhật SDK Zoom có vẻ như là một bản cập nhật thông thường.
Khi được thực thi, tập lệnh cập nhật cài đặt nhiều giai đoạn của phần mềm độc hại vào thiết bị Mac của nạn nhân. Những giai đoạn này bao gồm các beacon dựa trên AppleScript, các tập lệnh Bash để đánh cắp thông tin xác thực, và các tệp nhị phân được biên dịch bằng Nim và C++ để duy trì và thực thi lệnh từ xa.
Các tệp chương trình nhị phân là các tệp độc lập thực hiện các tác vụ cụ thể trong chuỗi phần mềm độc hại. Một tệp nhị phân, được gọi là CoreKitAgent, sử dụng cơ chế duy trì dựa trên tín hiệu hoạt động khi người dùng cố gắng đóng phần mềm độc hại, cho phép nó vẫn hoạt động ngay cả sau khi hệ thống khởi động lại.
Cryptocurrencies là mục tiêu chính của hoạt động này. Phần mềm độc hại tìm kiếm các thông tin xác thực được lưu trữ trong trình duyệt và dữ liệu ứng dụng liên quan đến ví kỹ thuật số.
Phần mềm độc hại thực thi các tập lệnh được thiết kế để trích xuất thông tin từ các trình duyệt phổ biến như Chrome, Brave, Edge và Firefox, cũng như trình quản lý mật khẩu Keychain của Apple. Một thành phần khác nhắm vào cơ sở dữ liệu mã hóa và các tệp khóa của Telegram, có khả năng tiết lộ cụm từ hạt giống ví và các khóa riêng tư được trao đổi qua ứng dụng nhắn tin.
Tin tặc Bắc Triều Tiên chịu trách nhiệm
Sentinel Labs đã quy kết chiến dịch này cho một tác nhân đe dọa liên kết với Triều Tiên, tiếp tục một mô hình các cuộc tấn công mạng tập trung vào tiền điện tử của Cộng hòa Dân chủ Nhân dân Triều Tiên.
Các nhóm hacker như Lazarus đã từ lâu nhắm đến các công ty tài sản kỹ thuật số trong nỗ lực vượt qua các lệnh trừng phạt quốc tế và tài trợ cho các hoạt động của nhà nước. Các chiến dịch trước đó đã thấy phần mềm độc hại được viết bằng Go và Rust, nhưng chiến dịch này đánh dấu một trong những lần triển khai lớn đầu tiên của Nim chống lại các mục tiêu macOS.
Như đã báo cáo trước đó bởi crypto.news, vào cuối năm 2023, các nhà nghiên cứu đã quan sát một chiến dịch khác liên kết với DPRK đã triển khai một phần mềm độc hại dựa trên Python được biết đến với tên gọi Kandykorn. Nó được phân phối qua các máy chủ Discord dưới lớp vỏ của một bot giao dịch chênh lệch tiền điện tử và chủ yếu nhắm vào các kỹ sư blockchain sử dụng macOS.
Sentinel Labs đã cảnh báo rằng khi các tác nhân đe dọa ngày càng áp dụng các ngôn ngữ lập trình mơ hồ và các kỹ thuật tinh vi, những giả định bảo mật truyền thống xung quanh macOS không còn hợp lệ.
Trong vài tháng qua, một số chủng phần mềm độc hại đã nhắm mục tiêu vào người dùng Apple, bao gồm SparkKitty, đã đánh cắp cụm từ hạt giống qua các thư viện ảnh trên iOS, và một trojan đã thay thế các ứng dụng ví trên macOS bằng một phiên bản độc hại.
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Tin tặc Bắc Triều Tiên nhắm mục tiêu vào macOS trong chiến dịch phần mềm độc hại mới nhất nhằm vào các công ty tiền điện tử
Các tội phạm mạng Bắc Triều Tiên đã nhắm mục tiêu vào các công ty tiền mã hóa bằng cách sử dụng một loại phần mềm độc hại mới khai thác các thiết bị Apple trong một cuộc tấn công đa giai đoạn.
Các nhà nghiên cứu tại công ty an ninh mạng Sentinel Labs đã phát đi cảnh báo về chiến dịch này, sử dụng kỹ thuật kỹ thuật xã hội và các kỹ thuật bền bỉ tiên tiến để xâm nhập vào hệ thống macOS.
Phần mềm độc hại, được đặt tên là "NimDoor," được viết bằng ngôn ngữ lập trình Nim ít được biết đến và có khả năng né tránh các công cụ diệt virus truyền thống.
Theo Sentinel Labs, những kẻ tấn công bắt đầu liên lạc bằng cách giả mạo các cá nhân đáng tin cậy trên các nền tảng nhắn tin như Telegram. Các nạn nhân, trong trường hợp này có vẻ là nhân viên tại các công ty blockchain hoặc Web3, bị dụ vào các cuộc họp Zoom giả mạo qua các liên kết lừa đảo và được chỉ dẫn cài đặt một bản cập nhật SDK Zoom có vẻ như là một bản cập nhật thông thường.
Khi được thực thi, tập lệnh cập nhật cài đặt nhiều giai đoạn của phần mềm độc hại vào thiết bị Mac của nạn nhân. Những giai đoạn này bao gồm các beacon dựa trên AppleScript, các tập lệnh Bash để đánh cắp thông tin xác thực, và các tệp nhị phân được biên dịch bằng Nim và C++ để duy trì và thực thi lệnh từ xa.
Các tệp chương trình nhị phân là các tệp độc lập thực hiện các tác vụ cụ thể trong chuỗi phần mềm độc hại. Một tệp nhị phân, được gọi là CoreKitAgent, sử dụng cơ chế duy trì dựa trên tín hiệu hoạt động khi người dùng cố gắng đóng phần mềm độc hại, cho phép nó vẫn hoạt động ngay cả sau khi hệ thống khởi động lại.
Cryptocurrencies là mục tiêu chính của hoạt động này. Phần mềm độc hại tìm kiếm các thông tin xác thực được lưu trữ trong trình duyệt và dữ liệu ứng dụng liên quan đến ví kỹ thuật số.
Phần mềm độc hại thực thi các tập lệnh được thiết kế để trích xuất thông tin từ các trình duyệt phổ biến như Chrome, Brave, Edge và Firefox, cũng như trình quản lý mật khẩu Keychain của Apple. Một thành phần khác nhắm vào cơ sở dữ liệu mã hóa và các tệp khóa của Telegram, có khả năng tiết lộ cụm từ hạt giống ví và các khóa riêng tư được trao đổi qua ứng dụng nhắn tin.
Tin tặc Bắc Triều Tiên chịu trách nhiệm
Sentinel Labs đã quy kết chiến dịch này cho một tác nhân đe dọa liên kết với Triều Tiên, tiếp tục một mô hình các cuộc tấn công mạng tập trung vào tiền điện tử của Cộng hòa Dân chủ Nhân dân Triều Tiên.
Các nhóm hacker như Lazarus đã từ lâu nhắm đến các công ty tài sản kỹ thuật số trong nỗ lực vượt qua các lệnh trừng phạt quốc tế và tài trợ cho các hoạt động của nhà nước. Các chiến dịch trước đó đã thấy phần mềm độc hại được viết bằng Go và Rust, nhưng chiến dịch này đánh dấu một trong những lần triển khai lớn đầu tiên của Nim chống lại các mục tiêu macOS.
Như đã báo cáo trước đó bởi crypto.news, vào cuối năm 2023, các nhà nghiên cứu đã quan sát một chiến dịch khác liên kết với DPRK đã triển khai một phần mềm độc hại dựa trên Python được biết đến với tên gọi Kandykorn. Nó được phân phối qua các máy chủ Discord dưới lớp vỏ của một bot giao dịch chênh lệch tiền điện tử và chủ yếu nhắm vào các kỹ sư blockchain sử dụng macOS.
Sentinel Labs đã cảnh báo rằng khi các tác nhân đe dọa ngày càng áp dụng các ngôn ngữ lập trình mơ hồ và các kỹ thuật tinh vi, những giả định bảo mật truyền thống xung quanh macOS không còn hợp lệ.
Trong vài tháng qua, một số chủng phần mềm độc hại đã nhắm mục tiêu vào người dùng Apple, bao gồm SparkKitty, đã đánh cắp cụm từ hạt giống qua các thư viện ảnh trên iOS, và một trojan đã thay thế các ứng dụng ví trên macOS bằng một phiên bản độc hại.