Sentinellabs, исследовательская и угроза, подразделение фирмы кибербезопасности Sentinelone, углубилась в новую и сложную атаку под названием Nimdoor, нацеленная на устройства MacOS от Bad Actors CORK.
Сложная схема включает использование языка программирования NIM для введения нескольких цепочек атаки на устройствах, используемых в небольших бизнесах Web3, что является недавней тенденцией.
Самопровозглашенный следователь Zachxbt также обнаружил цепочку платежей, сделанных корейским ИТ-работникам, которая может быть частью этой гениальной группы хакеров.
Как атака выполнена
В подробном отчете Sentinellabs описывается новый и запутанный подход к нарушению устройств Mac.
Это начинается в настоящее время знакомым образом: выдавая себя за доверенный контакт, чтобы запланировать встречу по календарному времени, и цель впоследствии получает электронное письмо для обновления приложения Zoom. Вы можете найти больше информации об этом конкретном трюке на мошенничестве в нашем подробном отчете здесь.
Сценарий обновления заканчивается тремя строками вредоносного кода, которые извлекают и выполняют сценарий второй стадии с контролируемого сервера по законной ссылке на собрание масштабирования.
Нажав на ссылку автоматически загружает два двоичных файла Mac, которые инициируют две независимые цепочки выполнения: первая общая информация о системе и данные об общей системе и данные, специфичные для приложения. Второй гарантирует, что злоумышленник будет иметь долгосрочный доступ к пораженной машине.
Затем цепочка атаки продолжается, установив два сценария Bash через троян. Один используется для нацеливания данных из конкретных браузеров: Arc, Brave, Firefox, Chrome и Edge. Другие крадут зашифрованные данные Telegram и капля, используемая для их расшифровки. Затем данные извлекаются на управляемый сервер.
Что делает этот подход уникальным и сложным для аналитиков безопасности, так это использование нескольких компонентов вредоносных программ и различных методов, используемых для инъекции и подделки, что затрудняет его обнаружение.
Аналогичные атаки также были обнаружены Huntabil.it в апреле и Huntress в июне.
Следуйте за деньгами
Zachxbt, следователь псевдонимы блокчейна, недавно разместил на X с его последними выводами о существенных платежах, произведенных различным застройщикам Демократической Республики Кореи (КНДР), работающих над различными проектами с начала года.
Ему удалось выявить восемь отдельных работников, работающих для 12 различных компаний.
Его выводы показывают, что 2,76 млн. Долл. США в USDC были отправлены со счетов Circle на адреса, связанные с разработчиками в месяц. Эти адреса очень близки к одному, который был занесен в черный список в 2023 году, так как он привязан к предполагаемому заговорщику Sim Hyon Sop.
Зак продолжает отслеживать аналогичные кластеры адресов, но не объявил никакой информации, поскольку они все еще активны.
Он выпустил предупреждение, в котором говорится, что, как только эти работники берут на себя ответственность за контракты, базовый проект подвергается высокому риску.
«Я полагаю, что когда команда нанимает несколько ITW (ИТ -работников) КНРК, это является достойным показателем для определения того, что стартап будет провалом. В отличие от других угроз для отрасли, эти работники имеют небольшую изощренность, поэтому это, главным образом, результат собственной небрежности команды».
Источник: cryptospy.ru