Поделиться
Госхакеры КНДР задействовали вредоносы на языке Nim
Сравнительно непопулярный язык используется в атаках на предприятия Web3 и криптобизнес.
Хакеры и macOS
«Хакерские силы» Северной Кореи начали атаковать предприятия, связанные с Web3 и криптовалютами, используя вредоносы, написанные на сравнительно недавнем языке Nim. Что характерно, вредоносы нацелены на операционную систему macOS.
Более того, как отмечают эксперты компании SentinelOne, эти программы на фоне других вредоносов под macOS выглядят весьма необычно: операторы используют методику внедрения (инъекции) процессов и удаленные коммуникации через wss, версию протокола WebSocket с шифрованием TLS.
Кроме того, используется новаторский механизм обеспечения постоянства присутствия: эксплуатируются обработчики сигнала SIGINT/SIGTERM, обеспечивающие восстановление вредоносов после попытки их удаления или перезагрузки системы.
Как работает
Первоначальным вектором атаки, однако, является фишинг: потенциальных жертв «обрабатывают» через платформы обмена сообщениями, такие как Telegram; затем им предлагается провести некую встречу через Zoom - причем дата и время фиксируются через ПО Calendly. После этого жертва направляется почтовое сообщение с предполагаемой ссылкой на будущий созвон в Zoom, а заодно - инструкции по запуску SDK-набора для Zoom, чтобы, дескать, обеспечить актуальность версии приложения.
Запуск этого «SDK» на деле запускает AppleScript, который скачивает с удаленного сервера еще один скрипт. В это время жертве выводится сообщение о переходе по ссылке на конференцию в Zoom.
Затем второй скрипт распаковывает архивы ZIP, в которых содержатся исполняемые файлы, ответственные за фиксацию присутствия и bash-скрипты, осуществляющие кражу данных.
Гвоздем программы оказывается написанный на C++ загрузчик InjectWithDyldArm64 (или InjectWithDyld), который расшифровывает исполняемые файлы Target и trojan1_arm64. Загрузчик запускает Target в приостановленном состоянии и инъектирует его в код trojan1_arm64, после чего процесс перезапускается.
Вредонос устанавливает связь с удаленным сервером и запускает команды, которые позволяют ему собирать системную информацию, запускать другие произвольные команды и менять текущий рабочий каталог.
Сам по себе trojan1_arm64 может скачивать два дополнительных модуля, которые осуществляют извлечение реквизитов доступа из браузеров Arc, Brave, Google Chrome, Microsoft Edge, Mozilla Firefox, а также из мессенджера Telegram.
Плюс к этому скачиваются несколько исполняемых файлов уже на базе Nim, которые применяются для запуска вредоноса CoreKitAgent. Его задача - отслеживать попытки пользователя остановить процесс вредоноса и обеспечить сохранение других компонентов в системе посредством специальных обработчиков SIGINT и SIGTERM.
Это делает основной код практически неуязвимым против базовых защитных приемов.
Еще один AppleScript каждые 30 секунд опрашивает один из двух серверов (адреса которых прописаны в коде), а также переправляет туда список активных процессов и запускает дополнительные скрипты, которые может присылать сервер.
Все это демонстрирует растущий уровень технической подготовленности операторов кампании. Они и раньше экспериментировали с новыми языками - Go и Rust - комбинируя скрипты и скомпилированные исполняемые файлы в разьилчных комбинациях.
Nim обладает уникальной способностью осуществлять запуск функций во время компилирования, и это позволяет реализовывать сложные сценарии поведения и при этом замаскировать поток управления, так что в результате получаются скомпилированные двоичные файлы, в которых код разработчика и код среды выполнения Nim перемешаны даже на уровне функций.
«Подобный подход действительно позволяет снижать заметность вредоносов для защитных средств, даже тех, которые ориентируются на поведение, а не сигнатуры», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Что же до атак именно на macOS, то здесь все закономерно: ПК Apple стоят выше среднего, следовательно, у тех, кто может себе их позволить, благосостояние выше и это привлекает всевозможных злоумышленников, с кем бы те ни были аффилированы».
Короткая ссылка
