小心！朝鮮黑客以非常有創意的方式瞄準Mac用戶

SentinelLabs，網路安全公司SentinelOne的威脅研究與情報部門，研究了一個名爲NimDoor的新型復雜攻擊活動，針對來自朝鮮的惡意分子攻擊macOS設備。 這個復雜的計劃包括使用Nim編程語言將多個攻擊鏈引入用於小型Web3企業的設備，這是最近的趨勢。 自稱的調查員ZachXBT還發現了一系列支付，支付給韓國IT員工，這可能是這個技術高超的黑客團隊的一部分。 攻擊是如何進行的 SentinelLabs的詳細報告描述了一種新穎且難以理解的方法來侵入Mac設備。 開始以熟悉的方式：冒充一個可靠的聯繫人通過Calendly安排會議，然後目標將收到更新Zoom應用的電子郵件。 更新腳本以三行惡意代碼結束，該代碼用於從受控服務器檢索並執行合法Zoom會議連結的第二階段腳本。 點擊連結將自動下載兩個Mac二進制文件，初始化兩個獨立的執行鏈：第一個文件將刪除通用系統信息和應用特定數據。第二個文件確保攻擊者將對受影響的機器擁有持久訪問權限。 攻擊鏈隨後通過 Trojan 安裝了兩個 Bash 腳本。一個腳本用於針對特定瀏覽器的數據：Arc、Brave、Firefox、Chrome 和 Edge。另一個腳本則竊取 Telegram 的加密數據和用於解密該數據的 blob。然後，數據被提取到受控服務器上。 使這種方法對安全分析師來說獨特且充滿挑戰的原因在於使用多種惡意軟件組件和多種技術來引入和僞裝惡意軟件，這使得檢測變得非常困難。 跟蹤資金 ZachXBT，一位匿名區塊鏈調查員，最近在X上發布了他關於爲多個朝鮮民主主義人民共和國(DPRK)的開發者進行的大額支付的最新發現，這些開發者自年初以來一直在多個不同項目上工作。 他已經確定了八名工人爲12家不同的公司工作。 他的發現表明，每個月有276萬美元USDC從Circle的帳戶發送到與開發者相關的地址。這些地址與Tether在2023年列入黑名單的一個地址非常接近，因爲它與被指控的主謀Sim Hyon Sop有關。 Zach仍然持續關注類似的地址組，但尚未公開任何信息，因爲它們仍在活動中。 他警告說，一旦這些工人掌握了合同的所有權，基礎項目將面臨很高的風險。 “我相信，當一個團隊僱傭了大量DPRK ITW (IT員工)時，這是一個合理的指標，可以確定創業公司將會失敗。與行業的其他威脅不同，這些員工的復雜性較低，因此主要是由於團隊自身的疏忽所造成的。”