Nowatorski mechanizm infekcji systemu macOS

kapitanhack.pl 1 dzień temu

SentinelOne Inc. to zajmująca się cyberbezpieczeństwem amerykańska firma z siedzibą w Mountain View, notowana na giełdzie nowojorskiej. Została założona w 2013 roku przez Tomera Weingartena, Almoga Cohena i Ehuda Shamira. Oprócz swoich produktów SentinelOne jest znane między innymi ze sponsorowania zespołu Aston Martin Cognizant F1.

Firma słynąca z analiz cyberbezpieczeństwa właśnie poinformowała o zaobserwowaniu kampanii, w której północnokoreańscy hakerzy nakłaniają pracowników organizacji związanych z kryptowalutami do instalowania złośliwego systemu dla systemu macOS. Malware jest skompilowane w systemie Nim za pośrednictwem fałszywych aktualizacji systemu Zoom.

Obserwowane ataki są konsekwencją łańcucha infekcji, który niedawno przypisywano APT BlueNoroff – hakerzy podszywają się pod zaufany kontakt ofiary, aby zaprosić ją przez Telegram do umówienia spotkania za pośrednictwem popularnej platformy do planowania spotkań Calendly. Następnie ofiara otrzymuje wiadomość e-mail zawierającą link do spotkania w Zoomie i zostaje poinstruowana o konieczności uruchomienia skryptu (oczywiście złośliwego), podszywającego się pod aktualizację Zoom SDK. Wykonanie skryptu uruchamia wieloetapowy łańcuch infekcji prowadzący do wdrożenia złośliwych plików binarnych, które SentinelOne nazwał NimDoor.

Analiza ataków ujawniła nowatorskie techniki stosowane przez grupę hakerów, takie jak wykorzystanie języka programowania Nim do tworzenia plików binarnych systemu macOS, posługiwanie się WSS do wstrzykiwania procesów i zdalnej komunikacji oraz poleganie na określonych procedurach obsługi sygnałów w celu zapewnienia trwałości.

Nim to statycznie typowany kompilowany język programowania systemów, który łączy koncepcje z innych języków programowania, takich jak Python, Ada i Modula.

„Etapy Nim zawierają kilka unikalnych funkcji, w tym szyfrowaną obsługę konfiguracji, asynchroniczne wykonywanie oparte na natywnym środowisku uruchomieniowym Nim oraz mechanizm trwałości oparty na sygnałach, niespotykany wcześniej w złośliwym oprogramowaniu dla systemu macOS” – zauważają eksperci SentinelOne w opracowaniu technicznym.

Również skrypty AppleScript były szeroko wykorzystywane w całym łańcuchu infekcji, zarówno do początkowego dostępu, jak i do operacji po ataku, takich jak sygnalizowanie i backdooring systemu. Skrypty powłoki Bash były wdrożone do eksfiltracji danych z pęku kluczy, przeglądarki i Telegramu.

Według SentinelOne atakujący wykorzystali dwa pliki binarne Mach-O do uruchomienia dwóch niezależnych łańcuchów wykonywania. Jeden, napisany w C++, prowadzi do wykonania skryptów bash w celu eksfiltracji danych, podczas gdy drugi, skompilowany z kodu źródłowego Nim, konfiguruje trwałość i usuwa dwa skompilowane pliki binarne Nim, mianowicie „GoogIe LLC” (wykorzystuje podszywanie się pod typografię, zastępując małą literę „L” wielką literą „i”) oraz „CoreKitAgent”.

GoogIe LLC zostało zaprojektowane do utworzenia pliku konfiguracyjnego i uruchomienia CoreKitAgent, złożonego pliku binarnego Nim, który „działa jak aplikacja sterowana zdarzeniami, wykorzystując mechanizm kqueue systemu macOS” – twierdzi SentinelOne.

Wspólnie oba ładunki ustanawiają trwałe mechanizmy dostępu i odzyskiwania, oparte na procedurach obsługi sygnałów w celu przechwycenia sygnałów terminujących z SIGINT i SIGTERM oraz ponownego wdrożenia głównych komponentów.

„Niezwykła zdolność Nim do wykonywania funkcji w trakcie kompilacji pozwala atakującym na powiązanie złożonych zachowań do pliku binarnego z mniej oczywistym przepływem sterowania, co skutkuje powstaniem skompilowanych plików binarnych, w których kod programisty i kod środowiska wykonawczego Nim są wymieszane choćby na poziomie funkcji” – tłumaczą specjaliści SentinelOne.

Idź do oryginalnego materiału