Сложные кибератаки КНДР на Web3 и macOS с внедрением процессов

Сложные кибератаки КНДР на Web3 и macOS с внедрением процессов

Источник: www.sentinelone.com

Недавний отчет специалистов по кибербезопасности выявил масштабную и технологически продвинутую кампанию атак, проводимую хакерами из КНДР. Целью злоумышленников стали Web3-проекты и предприятия, связанные с криптографией. Особенность их подхода — использование многоступенчатых цепочек атак и эксплойты, разработанные с применением необычных для macOS техник и современного стека технологий.

Технологические особенности и механизм атаки

Главной особенностью кампании является использование двоичных файлов, скомпилированных на языке Nim, а также сложных методов внедрения кода в процессы — уязвимость, редко используемая на macOS-платформе. Помимо этого, злоумышленники:

  • Применяют зашифрованное взаимодействие с сервером управления через wss — защищенный WebSocket-протокол;
  • Внедрили уникальный механизм сохранения присутствия вредоносного ПО, использующий обработчики системных сигналов SIGINT и SIGTERM, что обеспечивает живучесть после перезагрузки или попыток удаления;
  • Используют AppleScripts как для первоначального проникновения, так и для организации легких бекдоров и маяков;
  • Интегрируют скрипты Bash, позволяющие извлекать конфиденциальные данные из связки ключей macOS (keychain), браузеров и Telegram-профилей;
  • Практикуют обфускацию и многоступенчатое шифрование, что значительно усложняет анализ и обнаружение вредоносных компонентов.

Начальная фаза: социальная инженерия и маскировка

Старт атаки обычно начинается с тщательно продуманной социальной инженерии. Мишени получают сообщения, якобы от пользователей Telegram, с предложением запустить вредоносный AppleScript, который выдается за «сценарий обновления Zoom SDK». Этот скрипт:

  • Имеет запутанную структуру;
  • Добывает и выполняет дополнительные скрипты, загружаемые с C2-сервера;
  • Запускает основную функциональность вредоносного ПО, обеспечивая дальнейшее проникновение.

Многоязыковая архитектура и функциональные модули

В кампании параллельно используются различные языки программирования:

  • AppleScript — для реализации маяков, начального доступа и передачи данных;
  • C++ — для создания исполняемого файла Mach-O, который записывает зашифрованную полезную нагрузку на диск;
  • Nim — для разработки двоичных файлов, обеспечивающих постоянство работы атакующего кода и оптимизацию жизненного цикла вредоносного ПО.

После первичной активности Mach-O файл запускает скрипты Bash для фильтрации и сбора ценных данных. Такая многоязыковая архитектура позволяет злоумышленникам гибко манипулировать системой и обойти защитные механизмы.

High-tech решения для скрытности и устойчивости

Особое внимание заслуживает компонент CoreKitAgent, в котором реализованы передовые стратегии обфускации и многоступенчатого шифрования, что существенно усложняет оперативный анализ и выявление вредоносных элементов. Дополнительно вредоносное ПО интегрировано с обработчиками системных сигналов, что позволяет ему асинхронно реагировать и _устойчиво противостоять_ попыткам уничтожения или перезагрузки системы.

Кроме того, встроенный в ядро атаки AppleScript периодически отправляет собранные данные на C2-серверы, что повышает скрытность вредоносной кампании и усложняет ее обнаружение.

Выводы и рекомендации

Анализ кампании подтверждает, что злоумышленники из КНДР продолжают совершенствовать свои инструменты и тактики, выходящие за рамки традиционного malware для macOS и криптосектора. В частности, использование process injection, шифрования через wss и продвинутых методов сохранения присутствия свидетельствует о высоком уровне организации и технической оснащенности атак.

Для предприятий Web3 и криптографической отрасли крайне важно:

  • Усилить контроль над всеми входящими скриптами и приложениями, особенно теми, что поступают из неожиданных источников;
  • Регулярно обновлять и проверять целостность системных ключей и пользовательских данных на предмет утечек;
  • Повышать осведомленность сотрудников о новых схемах социальной инженерии, особенно маскировке под легитимное ПО;
  • Использовать комплексные средства мониторинга сетевого трафика для обнаружения зашифрованного обмена через нестандартные протоколы.

Текущая кампания демонстрирует, что macOS — далеко не гарант безопасности в сфере Web3, и требует пристального внимания специалистов по информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: