Сложные кибератаки КНДР на Web3 и macOS с внедрением процессов

Источник: www.sentinelone.com
Недавний отчет специалистов по кибербезопасности выявил масштабную и технологически продвинутую кампанию атак, проводимую хакерами из КНДР. Целью злоумышленников стали Web3-проекты и предприятия, связанные с криптографией. Особенность их подхода — использование многоступенчатых цепочек атак и эксплойты, разработанные с применением необычных для macOS техник и современного стека технологий.
Технологические особенности и механизм атаки
Главной особенностью кампании является использование двоичных файлов, скомпилированных на языке Nim, а также сложных методов внедрения кода в процессы — уязвимость, редко используемая на macOS-платформе. Помимо этого, злоумышленники:
- Применяют зашифрованное взаимодействие с сервером управления через wss — защищенный WebSocket-протокол;
- Внедрили уникальный механизм сохранения присутствия вредоносного ПО, использующий обработчики системных сигналов
SIGINTиSIGTERM, что обеспечивает живучесть после перезагрузки или попыток удаления; - Используют AppleScripts как для первоначального проникновения, так и для организации легких бекдоров и маяков;
- Интегрируют скрипты Bash, позволяющие извлекать конфиденциальные данные из связки ключей macOS (keychain), браузеров и Telegram-профилей;
- Практикуют обфускацию и многоступенчатое шифрование, что значительно усложняет анализ и обнаружение вредоносных компонентов.
Начальная фаза: социальная инженерия и маскировка
Старт атаки обычно начинается с тщательно продуманной социальной инженерии. Мишени получают сообщения, якобы от пользователей Telegram, с предложением запустить вредоносный AppleScript, который выдается за «сценарий обновления Zoom SDK». Этот скрипт:
- Имеет запутанную структуру;
- Добывает и выполняет дополнительные скрипты, загружаемые с C2-сервера;
- Запускает основную функциональность вредоносного ПО, обеспечивая дальнейшее проникновение.
Многоязыковая архитектура и функциональные модули
В кампании параллельно используются различные языки программирования:
- AppleScript — для реализации маяков, начального доступа и передачи данных;
- C++ — для создания исполняемого файла Mach-O, который записывает зашифрованную полезную нагрузку на диск;
- Nim — для разработки двоичных файлов, обеспечивающих постоянство работы атакующего кода и оптимизацию жизненного цикла вредоносного ПО.
После первичной активности Mach-O файл запускает скрипты Bash для фильтрации и сбора ценных данных. Такая многоязыковая архитектура позволяет злоумышленникам гибко манипулировать системой и обойти защитные механизмы.
High-tech решения для скрытности и устойчивости
Особое внимание заслуживает компонент CoreKitAgent, в котором реализованы передовые стратегии обфускации и многоступенчатого шифрования, что существенно усложняет оперативный анализ и выявление вредоносных элементов. Дополнительно вредоносное ПО интегрировано с обработчиками системных сигналов, что позволяет ему асинхронно реагировать и _устойчиво противостоять_ попыткам уничтожения или перезагрузки системы.
Кроме того, встроенный в ядро атаки AppleScript периодически отправляет собранные данные на C2-серверы, что повышает скрытность вредоносной кампании и усложняет ее обнаружение.
Выводы и рекомендации
Анализ кампании подтверждает, что злоумышленники из КНДР продолжают совершенствовать свои инструменты и тактики, выходящие за рамки традиционного malware для macOS и криптосектора. В частности, использование process injection, шифрования через wss и продвинутых методов сохранения присутствия свидетельствует о высоком уровне организации и технической оснащенности атак.
Для предприятий Web3 и криптографической отрасли крайне важно:
- Усилить контроль над всеми входящими скриптами и приложениями, особенно теми, что поступают из неожиданных источников;
- Регулярно обновлять и проверять целостность системных ключей и пользовательских данных на предмет утечек;
- Повышать осведомленность сотрудников о новых схемах социальной инженерии, особенно маскировке под легитимное ПО;
- Использовать комплексные средства мониторинга сетевого трафика для обнаружения зашифрованного обмена через нестандартные протоколы.
Текущая кампания демонстрирует, что macOS — далеко не гарант безопасности в сфере Web3, и требует пристального внимания специалистов по информационной безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



