SentinelLabs, исследовательский и разведывательный отдел компании по кибербезопасности SentinelOne, изучил новую и сложную кампанию атак под названием NimDoor, нацеленную на устройства macOS от злодеев из КНДР.
Этот сложный план включает использование языка программирования Nim для внедрения множества атак на устройства, используемые в малых бизнесах Web3, что является недавней тенденцией.
Самопровозглашенный следователь ZachXBT также обнаружил цепочку платежей, произведенных для сотрудников ИТ из Южной Кореи, которые могут быть частью этой ловкой хакерской группы.
Как была осуществлена атака
Подробный отчет SentinelLabs описывает новый необычный и сложный способ взлома устройств Mac.
Начните привычным способом: выдай себя за надежный контакт, чтобы запланировать встречу через Calendly, после чего цель получит электронное письмо для обновления приложения Zoom.
Скрипт обновления завершается тремя строками вредоносного кода, который предназначен для извлечения и выполнения второго этапа скрипта с контролируемого сервера по законной ссылке на встречу Zoom.
Нажмите на ссылку, чтобы автоматически загрузить два двоичных файла для Mac, которые инициализируют две независимые цепочки выполнения: первый файл удалит общую системную информацию и данные, специфичные для приложения. Второй файл гарантирует, что злоумышленник получит длительный доступ к затронутой машине.
Цепочка атак продолжилась установкой двух Bash-скриптов через Trojan. Один скрипт использовался для нацеливания на данные из конкретных браузеров: Arc, Brave, Firefox, Chrome и Edge. Остальной скрипт крадет зашифрованные данные Telegram и blob, используемый для расшифровки этих данных. Затем данные извлекаются на контролируемый сервер.
Тем, что делает этот подход уникальным и полным вызовов для аналитиков безопасности, является использование множества компонентов вредоносного ПО и различных техник для внедрения и маскировки вредоносного ПО, что делает обнаружение очень сложным.
Следить за деньгами
ZachXBT, анонимный исследователь блокчейна, недавно опубликовал в X свои последние находки о крупных платежах, произведенных множеству разработчиков Корейской Народно-Демократической Республики (DPRK), работающим над различными проектами с начала года.
Он определил восемь рабочих, работающих на 12 различных компаниях.
Открытие г-на указывает на то, что 2,76 миллиона долларов USDC были отправлены с аккаунтов Circle на адреса, связанные с разработчиками, каждый месяц. Эти адреса очень близки к адресу, который Tether занес в черный список в 2023 году, так как он связан с предполагаемым злоумышленником Сим Хён Сопом.
Зак продолжает следить за похожими адресными группами, но пока не раскрыл никакой информации, так как они все еще активны.
Он предупредил, что как только эти рабочие получат право собственности на контракт, базовый проект будет под высоким риском.
"Я верю, что когда группа нанимает много DPRK ITW (сотрудников ИТ), это разумный индикатор того, что стартап потерпит неудачу. В отличие от других угроз для отрасли, эти сотрудники имеют мало утонченности, поэтому в основном это результат небрежности самой группы."
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Будьте осторожны! Хакеры из Северной Кореи нацелились на пользователей Mac очень креативным способом.
SentinelLabs, исследовательский и разведывательный отдел компании по кибербезопасности SentinelOne, изучил новую и сложную кампанию атак под названием NimDoor, нацеленную на устройства macOS от злодеев из КНДР. Этот сложный план включает использование языка программирования Nim для внедрения множества атак на устройства, используемые в малых бизнесах Web3, что является недавней тенденцией. Самопровозглашенный следователь ZachXBT также обнаружил цепочку платежей, произведенных для сотрудников ИТ из Южной Кореи, которые могут быть частью этой ловкой хакерской группы. Как была осуществлена атака Подробный отчет SentinelLabs описывает новый необычный и сложный способ взлома устройств Mac. Начните привычным способом: выдай себя за надежный контакт, чтобы запланировать встречу через Calendly, после чего цель получит электронное письмо для обновления приложения Zoom. Скрипт обновления завершается тремя строками вредоносного кода, который предназначен для извлечения и выполнения второго этапа скрипта с контролируемого сервера по законной ссылке на встречу Zoom. Нажмите на ссылку, чтобы автоматически загрузить два двоичных файла для Mac, которые инициализируют две независимые цепочки выполнения: первый файл удалит общую системную информацию и данные, специфичные для приложения. Второй файл гарантирует, что злоумышленник получит длительный доступ к затронутой машине. Цепочка атак продолжилась установкой двух Bash-скриптов через Trojan. Один скрипт использовался для нацеливания на данные из конкретных браузеров: Arc, Brave, Firefox, Chrome и Edge. Остальной скрипт крадет зашифрованные данные Telegram и blob, используемый для расшифровки этих данных. Затем данные извлекаются на контролируемый сервер. Тем, что делает этот подход уникальным и полным вызовов для аналитиков безопасности, является использование множества компонентов вредоносного ПО и различных техник для внедрения и маскировки вредоносного ПО, что делает обнаружение очень сложным. Следить за деньгами ZachXBT, анонимный исследователь блокчейна, недавно опубликовал в X свои последние находки о крупных платежах, произведенных множеству разработчиков Корейской Народно-Демократической Республики (DPRK), работающим над различными проектами с начала года. Он определил восемь рабочих, работающих на 12 различных компаниях. Открытие г-на указывает на то, что 2,76 миллиона долларов USDC были отправлены с аккаунтов Circle на адреса, связанные с разработчиками, каждый месяц. Эти адреса очень близки к адресу, который Tether занес в черный список в 2023 году, так как он связан с предполагаемым злоумышленником Сим Хён Сопом. Зак продолжает следить за похожими адресными группами, но пока не раскрыл никакой информации, так как они все еще активны. Он предупредил, что как только эти рабочие получат право собственности на контракт, базовый проект будет под высоким риском. "Я верю, что когда группа нанимает много DPRK ITW (сотрудников ИТ), это разумный индикатор того, что стартап потерпит неудачу. В отличие от других угроз для отрасли, эти сотрудники имеют мало утонченности, поэтому в основном это результат небрежности самой группы."