HackerNews 编译,转载请注明出处:
朝鲜黑客正通过伪造Zoom软件更新,诱使Web3和加密货币相关组织的员工安装Nim编译的macOS恶意软件——SentinelOne报告。
观察到的攻击遵循了近期归因于平壤APT组织BlueNoroff的感染链:黑客冒充受害者的可信联系人,通过Telegram邀请受害者使用流行的Calendly日程安排平台安排会议。
受害者随后会收到一封包含Zoom会议链接的电子邮件,并被指示运行一个伪装成Zoom SDK更新的恶意脚本。脚本的执行会触发一个多阶段感染链,最终导致SentinelOne统称为NimDoor的恶意二进制文件的部署。
对攻击的分析揭示了该黑客组织使用的新技术,例如:
– 使用Nim编程语言构建macOS二进制文件
– 滥用wss进行进程注入和远程通信
– 依赖特定的信号处理程序实现持久化
Nim是一种静态类型的编译型系统编程语言,融合了Python、Ada和Modula等语言的概念。
“Nim阶段包含一些独特功能,包括加密配置处理、围绕Nim原生运行时构建的异步执行,以及一种在macOS恶意软件中前所未见的基于信号的持久化机制,” SentinelOne在技术报告中指出。
AppleScript在整个感染链中被广泛使用,既用于初始访问,也用于入侵后的操作,如信标通信和系统后门植入。Bash脚本被部署用于Keychain、浏览器和Telegram数据的外泄。
根据SentinelOne的说法,攻击者使用了两个Mach-O二进制文件来触发两个独立的执行链:
其中一个用C++编写,会导致执行用于数据外泄的bash脚本;另一个从Nim源代码编译,用于设置持久化并投放两个Nim编译的二进制文件,分别是’GoogIe LLC’(使用拼写错误欺骗,用小写字母”l”替换大写字母”I”)和’CoreKitAgent’。
GoogIe LLC用于设置配置文件并执行CoreKitAgent,这是一个复杂的Nim二进制文件,”作为使用macOS kqueue机制的事件驱动应用程序运行”,SentinelOne表示。
这两个载荷共同建立了持久访问和恢复机制,依靠信号处理程序拦截来自SIGINT和SIGTERM的终止信号,并重新部署核心组件。
“Nim相当独特的在编译时执行函数的能力,使攻击者能够将复杂行为融入二进制文件中,且控制流不那么明显,导致编译后的二进制文件中开发者代码和Nim运行时代码甚至在函数级别都相互交织,” SentinelOne指出。
消息来源: securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
