Атака BlueNoroff на macOS: угроза криптофондам через Zoom
Вредоносное расширение Zoom: детальный разбор атаки на сотрудников криптовалютного фонда
11 июня 2025 года компания Huntress сообщила об инциденте с безопасностью, связанном с вредоносным расширением Zoom, которое было загружено сотрудником криптовалютного фонда. Этот случай — яркий пример современного подхода к кибершпионажу, использующего сложные методы социальной инженерии и специализированное вредоносное ПО, направленное на системы macOS.
Как происходило вторжение?
Атака началась с социальной инженерии через мессенджер Telegram. Злоумышленник манипулировал жертвой, заставляя её присоединиться к поддельному собранию Zoom, где присутствовали фальшивые руководители компании. Во время этой встречи пользователю предложили загрузить файл AppleScript, замаскированный под расширение Zoom.
- Загрузочный файл назывался zoom_sdk_support.scpt.
- Он перенаправлял пользователя на легитимную страницу Zoom SDK.
- Однако фактически файл был разработан для загрузки вредоносной полезной нагрузки с сайта злоумышленников.
Особенности вредоносного ПО и методы компрометации
Вредоносная нагрузка была сконструирована с целью:
- Отключения ведения журнала bash history — чтобы скрыть действия на системе.
- Проверки наличия Rosetta 2 для облегчения запуска двоичных файлов x86_64 на Apple Silicon.
Основные компоненты вредоносного ПО включали:
- Root Troy V4 — главный бэкдор.
- Множество двоичных файлов для кейлоггинга, скрытого сбора данных и кражи криптовалюты.
- Telegram 2 — постоянный бэкдор, поддерживающий связь с сервером управления (C2), периодически отправляющий собранные данные.
Вредоносное ПО управлялось несколькими способами, включая:
- Удалённое выполнение AppleScript и команд оболочки.
- Кейлоггер на Objective-C для отслеживания нажатий клавиш и активности в буфере обмена.
- Специализированный инфокрад под названием КриптоБот, сосредоточенный на сборе информации о криптовалюте из браузеров.
Уникальные приёмы APT-группировки TA444 (BlueNoroff)
Эта атака демонстрирует изощренные методы северокорейской APT-подгруппы TA444, также известной как BlueNoroff. Особенности её работы включают:
- Целенаправленное использование AppleScript для обхода системных ограничений macOS.
- Развёртывание сложной полезной нагрузки через внедрение процессов и вредоносных скриптов.
- Адаптация вредоносных компонентов для эффективного выполнения на macOS, что ранее считалось менее уязвимой платформой по сравнению с Windows.
Выводы и рекомендации
Инцидент подчёркивает усиливающуюся угрозу для macOS-сред, особенно в финансовых секторах с высокой стоимостью активов, таких как криптовалюта. Злоумышленники всё чаще применяют сложные методы социальной инженерии, чтобы обойти традиционные средства защиты.
Ключевые рекомендации для организаций и пользователей:
- Проводить регулярное обучение сотрудников методам распознавания социальной инженерии.
- Внедрять многоуровневые механизмы защиты для предотвращения загрузки и исполнения подозрительных скриптов.
- Повышать осведомлённость о специфике угроз для macOS и особенностях вредоносного ПО, нацеленного на данную платформу.
Только комплексный подход к безопасности способен защитить организации от подобных целенаправленных и технически сложных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
