SentinelLabs گزارش داد که یک بازیگر بدنام تهدید کره شمالی با استفاده از ب،زار چند مرحله ای و مک،زم پایداری جدید، شرکت های ارزهای دیجیتال را هدف قرار می دهد.
این کمپین که “خطرات پنهان” نام دارد، با اطمینان بالا توسط گروه تهدید دائمی پیشرفته BlueNoroff (APT) که به حملات با انگیزه مالی معروف است، ارزیابی شده است. این برای هدف قرار دادن دستگاه های macOS طراحی شده است.
این کمپین با یک ایمیل فیشینگ آغاز میشود که دو نوع ب،زار پس از آلودگی اولیه حذف شدند. محققان مک،سم پایداری جدیدی را در درب پشتی برجسته کرده اند که از فایل پیکربندی Zshenv سوء استفاده می کند.
یکی دیگر از جنبههای قابلتوجه، نمایش مداوم مهاجمان است که میتوانند حسابهای معتبر «توسعهدهنده تعیینشده» اپل را به دلخواه به دست آورند یا ربوده کنند و به آنها کمک کند از macOS Gatekeeper و دیگر فناوریهای امنیتی داخلی اپل دور بزنند.
SentinelLabs گفت که کمپین جدید، که در اکتبر 2024 مشاهده کرد، اما احتمالاً در اوایل ژوئیه 2024 شروع شد، از دیگر حملات کره شمالی علیه صنایع مرتبط با ارزهای دیجیتال در 12 ماه گذشته، که بسیاری از آنها شامل “هدف های اجتماعی” گسترده بودند، تغییر کرد رسانه ها رسانه ها
محققان نوشتند: «ما متوجه میشویم که کمپین مخاطرهآمیز از این استراتژی منحرف میشود و رویکرد فیشینگ ایمیلی سنتیتر و خامتر، هرچند نه ،وماً کمتر مؤثر، دارد کمپین های قبلی تحت حمایت کره شمالی هم از نظر ،اصر م،ب مشاهده شده و هم از نظر زیرساخت شبکه مرتبط واضح است.
SentinelLabs گفت: این کمپین، همراه با افزایش کلی نرم افزار مجرمانه macOS، به این م،ی است که همه کاربران macOS باید تدابیر امنیتی خود را تشدید کنند و آگاهی خود را از خطرات احتمالی افزایش دهند.
این تحلیل پس از هشدار FBI انجام شد که بازیگران سایبری کره شمالی از کمپین های پیچیده مهندسی اجتماعی علیه عملیات ارزهای دیجیتال استفاده می کنند.
کمپین ب،زار چند مرحله ای
ایمیل فیشینگ که حمله را آغاز می کند حاوی پیوندی به یک برنامه م،ب برای دستیابی به آلودگی اولیه است.
این برنامه به ،وان پیوندی به یک سند PDF مربوط به موضوع ارزهای دیجیتال مانند “خطرات پنهان پشت افزایش جدید قیمت بیت کوین” پنهان شده است. این ایمیلها ادعا میکنند که از یک شخص واقعی که در یک صنعت غیرمرتبط کار میکند میآیند و ادعا میکنند که پیامی را از یک تأثیرگذار رسانههای اجتماعی معروف ارزهای دیجیتال ارسال میکنند.
ایمیل فیشینگ نسبتاً پیچیده است، زیرا حاوی هیچ اطلاعات شخصی در مورد گیرنده نیست.
پیوند “باز” در ایمیل فیشینگ، URL دامنه دیگری، delphidi،al(.)org را پنهان می کند. این URL در ادامه به معرفی اولین مرحله از بسته برنامه م،ب با ،وان “ریسک های پنهان در پشت افزایش جدید در قیمت بیت کوین” می پردازد.
این یک برنامه مک است که با سوئیفت نوشته شده است و همان نام فایل PDF مورد انتظار را نمایش می دهد. بسته برنامه در 19 اکتبر 2024 با استفاده از شناسه توسعه دهنده Apple “Avantis Regtech Private Limited (2S8XHJ7948)” امضا و محضری شد. امضا از آن زمان توسط اپل لغو شده است.
پس از راهاندازی، برنامه فایل پیدیاف جعلی «خطر پنهان» را از اشتراکگذاری Google Drive دانلود میکند و آن را با استفاده از نمایشگر پیشفرض PDF MacOS باز میکند.
پس از نوشتن روی فایلی که به /Users/Shared منتقل شد، ب،زار dropper یک باینری م،ب x86-64 را دانلود و اجرا می کند.
این باینری م،ب که توسط یک dropper مرحله اول دانلود میشود، مرحله دوم ب،زار را هدایت میکند، که فقط میتواند روی مکهای با معماری اینتل یا دستگاههای سیلی، اپل با چارچوب شبیهسازی Rosetta اجرا شود.
فایل اجرایی دارای تعدادی توابع قابل تعریف است، هدف کلی این است که به ،وان یک درب پشتی برای اجرای فرمان از راه دور عمل کند.
تابع SaveAndExec در درب پشتی مسئول اجرای هر دستور دریافت شده از زیرساخت فرمان و کنترل (C2) است. این تابع یک نام فایل تصادفی به طول 6 ایجاد می کند، مجوزهای فایل را تغییر می دهد و سپس آن را اجرا می کند.
تکنولوژی تثبیت کننده جدید
به گفته محققان، درب پشتی به دلیل مک،زم پایداری مورد استفاده، که از فایل پیکربندی Zshenv سوء استفاده می کند، بسیار جالب است.
Zshenv یکی از چندین فایل پیکربندی اختیاری است که توسط Zsh S، استفاده می شود.
محققان خاطرنشان ،د که آلوده ، یک میزبان با یک فایل م،ب Zshenv به نوع قوی ماندگاری اجازه میدهد که در آن فایل برای تمام جلسات Zsh، از جمله پوستههای تعاملی و غیر تعاملی، و پوستهها و اسکریپتهایی که نیازی به ثبت نام ندارند، به دست میآید.
محققان گفتند: «اگرچه این تکنیک ناشناخته نیست، اما این اولین باری است که مشاهده میکنیم که به طور گسترده توسط نویسندگان ب،زار استفاده میشود.
آنها اضافه ،د که در نسخههای اخیر macOS از زم، که اپل اعلانهای کاربر را برای هشدار دادن به کاربران در هنگام نصب روش پایداری معرفی کرد، ارزش دارد. سوء استفاده از Zshenv چنین اطلاعیه ای را در نسخه های فعلی macOS ایجاد نمی کند.
این کمپین پس از تجزیه و تحلیل زیرساخت شبکه مدیریت و کنترل شده توسط بازیگر به BlueNoroff نسبت داده شد.
منبع: https://www.infosecurity-magazine.com/news/north-korea-novel-malware-crypto/