SentinelLabs, відділ досліджень та розвідки загроз компанії кібербезпеки SentinelOne, вивчила нову та складну кампанію атаки під назвою NimDoor, що націлена на пристрої macOS від зловмисників з КНДР.
Цей складний план включає використання мови програмування Nim для впровадження численних атак на пристрої, які використовуються в малих підприємствах Web3, що є останньою тенденцією.
Самопроголошений дослідник ZachXBT також виявив ланцюг платежів, які були здійснені для IT-спеціалістів з Південної Кореї, які можуть бути частиною цієї талановитої хакерської групи.
Як була здійснена атака
Доклад SentinelLabs описує новий, незвичний і складний метод проникнення в пристрої Mac.
Почніть звичним способом: видаючи себе за надійного контакта, щоб запланувати зустріч через Calendly, після чого цільова особа отримає електронний лист для оновлення програми Zoom.
Скрипт оновлення закінчується трьома рядками шкідливого коду, які виконують функцію отримання та виконання сценарію другого етапу з контрольованого сервера до легітимного посилання на зустріч Zoom.
Натисніть на посилання, щоб автоматично завантажити два бінарних файли для Mac, які ініціюють два незалежних процеси виконання: перший файл видалить загальну інформацію про систему та специфічні дані програми. Другий файл гарантує, що зловмисник матиме тривалий доступ до ураженої машини.
Подальша атака продовжилася шляхом встановлення двох скриптів Bash через Trojan. Один скрипт використовується для націлювання на дані з конкретних браузерів: Arc, Brave, Firefox, Chrome та Edge. Інший скрипт викрадає зашифровані дані Telegram і blob, який використовується для розшифровки цих даних. Потім дані передаються на сервер, що контролюється.
Те, що робить цей підхід унікальним і складним для аналітиків безпеки, - це використання кількох компонентів шкідливого програмного забезпечення та різних технік для впровадження та підробки шкідливого програмного забезпечення, що ускладнює його виявлення.
Слідкувати за грошима
ZachXBT, анонімний дослідник блокчейну, нещодавно опублікував на X свої останні знахідки щодо великих платежів, що здійснюються різним розробникам Республіки Демократичної Народної Кореї (DPRK), які працюють над різними проектами з початку року.
Він виявив вісім працівників, які працюють на 12 різних компаній.
Виявлення пана вказує на те, що 2,76 мільйона доларів USDC щомісяця надсилаються з рахунків Circle на адреси, пов'язані з розробниками. Ці адреси дуже близькі до адреси, яку Tether заніс до чорного списку у 2023 році, оскільки вона пов'язана з обвинуваченим у змові Сим Хьон Сопом.
Зах продовжує стежити за подібними групами адрес, але поки що не оприлюднив жодної інформації, оскільки вони все ще активні.
Він висловив тривогу, що як тільки ці працівники отримають право власності на контракт, основний проект опиниться під високим ризиком.
“Я вірю, що коли група наймає багато DPRK ITW ( працівників ІТ), це є розумним показником того, що стартап зазнає невдачі. На відміну від інших загроз для галузі, ці працівники мають менше витонченості, тому переважно є наслідком недбалості самої групи.”
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Будьте обережні! Північнокорейські хакери креативно націлюються на користувачів Mac.
SentinelLabs, відділ досліджень та розвідки загроз компанії кібербезпеки SentinelOne, вивчила нову та складну кампанію атаки під назвою NimDoor, що націлена на пристрої macOS від зловмисників з КНДР. Цей складний план включає використання мови програмування Nim для впровадження численних атак на пристрої, які використовуються в малих підприємствах Web3, що є останньою тенденцією. Самопроголошений дослідник ZachXBT також виявив ланцюг платежів, які були здійснені для IT-спеціалістів з Південної Кореї, які можуть бути частиною цієї талановитої хакерської групи. Як була здійснена атака Доклад SentinelLabs описує новий, незвичний і складний метод проникнення в пристрої Mac. Почніть звичним способом: видаючи себе за надійного контакта, щоб запланувати зустріч через Calendly, після чого цільова особа отримає електронний лист для оновлення програми Zoom. Скрипт оновлення закінчується трьома рядками шкідливого коду, які виконують функцію отримання та виконання сценарію другого етапу з контрольованого сервера до легітимного посилання на зустріч Zoom. Натисніть на посилання, щоб автоматично завантажити два бінарних файли для Mac, які ініціюють два незалежних процеси виконання: перший файл видалить загальну інформацію про систему та специфічні дані програми. Другий файл гарантує, що зловмисник матиме тривалий доступ до ураженої машини. Подальша атака продовжилася шляхом встановлення двох скриптів Bash через Trojan. Один скрипт використовується для націлювання на дані з конкретних браузерів: Arc, Brave, Firefox, Chrome та Edge. Інший скрипт викрадає зашифровані дані Telegram і blob, який використовується для розшифровки цих даних. Потім дані передаються на сервер, що контролюється. Те, що робить цей підхід унікальним і складним для аналітиків безпеки, - це використання кількох компонентів шкідливого програмного забезпечення та різних технік для впровадження та підробки шкідливого програмного забезпечення, що ускладнює його виявлення. Слідкувати за грошима ZachXBT, анонімний дослідник блокчейну, нещодавно опублікував на X свої останні знахідки щодо великих платежів, що здійснюються різним розробникам Республіки Демократичної Народної Кореї (DPRK), які працюють над різними проектами з початку року. Він виявив вісім працівників, які працюють на 12 різних компаній. Виявлення пана вказує на те, що 2,76 мільйона доларів USDC щомісяця надсилаються з рахунків Circle на адреси, пов'язані з розробниками. Ці адреси дуже близькі до адреси, яку Tether заніс до чорного списку у 2023 році, оскільки вона пов'язана з обвинуваченим у змові Сим Хьон Сопом. Зах продовжує стежити за подібними групами адрес, але поки що не оприлюднив жодної інформації, оскільки вони все ще активні. Він висловив тривогу, що як тільки ці працівники отримають право власності на контракт, основний проект опиниться під високим ризиком. “Я вірю, що коли група наймає багато DPRK ITW ( працівників ІТ), це є розумним показником того, що стартап зазнає невдачі. На відміну від інших загроз для галузі, ці працівники мають менше витонченості, тому переважно є наслідком недбалості самої групи.”