Státem podporovaní hackeři ze Severní Koreje používají novou rodinu malwaru pro macOS nazvanou NimDoor v kampani zaměřené na organizace ve web3 a kryptoměnovém sektoru. Experti analyzující škodlivé soubory zjistili, že útočník využíval neobvyklé techniky a dosud neviděný mechanismus perzistence založený na signálech. Útok zahrnuje kontaktování obětí prostřednictvím Telegramu a jejich nalákání ke spuštění falešné aktualizace Zoom SDK, doručené přes Calendly a e-mail, což připomíná útok, který platforma pro správu bezpečnosti Huntress nedávno spojila se skupinou BlueNoroff.

Ve zprávě Experti z kyberbezpečnostní společnosti SentinelOne uvádějí, že útočník použil binární soubory kompilované v C++ a Nim (společně sledované jako NimDoor) na macOS, což „je neobvyklá volba“. Jeden z binárních souborů kompilovaných v Nim, installer, je odpovědný za počáteční nastavení a přípravu, připravuje adresáře a konfigurační cesty. Také instaluje další dva binární soubory – GoogIe LLC a CoreKitAgent na systém oběti.

GoogIe LLC přebírá sběr dat o prostředí a vytváří hexadecimálně kódovaný konfigurační soubor, který zapisuje do dočasné cesty. Nastaví macOS LaunchAgent (com.google.update.plist) pro perzistenci, který znovu spustí GoogIe LLC při přihlášení a ukládá autentizační klíče pro pozdější fáze.

Nejpokročilejší komponentou používanou při útoku je CoreKitAgent, hlavní náklad frameworku NimDoor, který funguje jako událostmi řízený binární soubor, používající mechanismus kqueue macOS k asynchronnímu řízení vykonávání. Implementuje stavový stroj s 10 případy s předem určenou tabulkou přechodů stavů, což umožňuje flexibilní tok řízení na základě podmínek za běhu.

Nejvýraznějším rysem je jeho mechanismus perzistence založený na signálech, kde instaluje vlastní obslužné rutiny pro SIGINT a SIGTERM.

Zdroj: BleepingComputer

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS