朝鲜黑客瞄准macOS用户

admin 2024年11月13日17:55:10评论40 views字数 2381阅读7分56秒阅读模式

朝鲜黑客瞄准macOS用户

与朝鲜民主主义人民共和国(DPRK)有联系的威胁行为者已被观察到针对与加密货币相关的企业,使用一种多阶段恶意软件,能够感染苹果 macOS 设备。

网络安全公司 SentinelOne 将该活动称为隐藏风险,并以高度信心将其归因于 BlueNoroff,该组织之前与诸如RustBucketKANDYKORNObjCShellzRustDoor(又名Thiefbucket)和TodoSwift等恶意软件家族有关联。

这项活动“利用传播关于加密货币趋势的虚假新闻的电子邮件,通过伪装成 PDF 文件的恶意应用程序感染目标,”研究人员拉法埃尔·萨巴托、菲尔·斯托克斯和汤姆·黑格尔在与《黑客新闻》分享的报告中表示。

“该活动可能早在 2024 年 7 月就开始,使用电子邮件和 PDF 诱饵,配以关于加密相关主题的假新闻标题或故事。”

根据美国联邦调查局(FBI)在 2024 年 9 月的公告,这些活动是针对在去中心化金融(DeFi)和加密货币领域工作的员工的“高度定制、难以检测的社会工程”攻击的一部分。

这些攻击以虚假的工作机会或企业投资的形式出现,与目标进行长时间的互动以建立信任,然后再投放恶意软件。

SentinelOne 表示,它在 2024 年 10 月底观察到一起针对加密相关行业的电子邮件钓鱼尝试,该尝试发送了一个伪装成 PDF 文件的投放程序(“Hidden Risk Behind New Surge of Bitcoin Price.app”),该文件托管在 delphidigital[.]org 上。

该应用程序是用 Swift 编程语言编写的,已于 2024 年 10 月 19 日被发现签名并公证,开发者 ID 为“Avantis Regtech Private Limited (2S8XHJ7948)”。该签名已被 iPhone 制造商撤销。

在启动时,该应用程序从 Google Drive 下载并向受害者显示一个诱饵 PDF 文件,同时秘密地从远程服务器检索第二阶段的可执行文件并执行它。一个 Mach-O x86-64 可执行文件,这个基于 C++的未签名二进制文件充当后门以执行远程命令。

后门还结合了一种新颖的持久性机制,利用了 zshenv 配置文件,这标志着该技术首次在恶意软件作者的实际应用中被滥用。

“研究人员表示:‘这在现代版本的 macOS 上具有特别的价值,因为苹果在 macOS 13 Ventura 中引入了后台登录项的用户通知。’”

“苹果的通知旨在警告用户何时安装持久性方法,特别是经常被滥用的 LaunchAgents 和 LaunchDaemons。然而,滥用 zshenv 在当前版本的 macOS 中并不会触发这样的通知。”

威胁行为者还被观察到使用域名注册商 Namecheap 建立一个围绕与加密货币、Web3 和投资相关主题的基础设施,以赋予其合法性表象。Quickpacket、Routerhosting 和 Hostwinds 是最常用的托管服务提供商之一。

值得注意的是,攻击链与 Kandji 在 2024 年 8 月强调的之前的活动有一定程度的重叠,该活动也使用了一个名为“Bitcoin 价格下跌的风险因素正在出现(2024).app”的 macOS 投放应用来部署 TodoSwift。

目前尚不清楚是什么促使威胁行为者改变战术,以及这是否是对公众报道的回应。“北朝鲜行为者以其创造力、适应能力和对其活动报告的意识而闻名,因此我们很可能只是看到他们的网络攻击计划中出现了不同的成功方法,”斯托克斯告诉《黑客新闻》。

另一个令人担忧的方面是 BlueNoroff 能够获取或劫持有效的 Apple 开发者账户,并利用这些账户让他们的恶意软件获得 Apple 的认证。

“在过去的 12 个月左右,北朝鲜的网络行动者针对与加密相关的行业进行了系列活动,其中许多活动涉及通过社交媒体对目标进行广泛的‘培养’,”研究人员说。

“隐秘风险”运动偏离了这一策略,采取了一种更传统和粗糙的电子邮件钓鱼方法,尽管这并不一定效果较差。尽管初始感染方法比较直接,但其他朝鲜民主主义人民共和国支持的运动的特征仍然明显。

这一发展也发生在朝鲜黑客策划的其他活动之中,他们试图在西方的各家公司寻找工作,并通过伪装成招聘挑战或任务的方式,向潜在求职者传递恶意软件,使用带有陷阱的代码库和会议工具。

这两个入侵组,称为 Wagemole(又名 UNC5267)和 Contagious Interview,已被归因于一个被追踪的威胁组,名为 Famous Chollima(又名 CL-STA-0240 和 Tenacious Pungsan)。

ESET 将 Contagious Interview 称为DeceptiveDevelopment,并将其归类为一个新的 Lazarus Group 活动集群,旨在针对全球的自由开发者进行加密货币盗窃。

“传染性面试和工资虫活动展示了朝鲜威胁行为者不断演变的战术,他们继续窃取数据,在西方国家获得远程工作,并绕过金融制裁,”Zscaler ThreatLabz 研究员朴成洙本周早些时候说。

"凭借精细的混淆技术、多平台兼容性和广泛的数据盗窃,这些活动对企业和个人构成了日益严重的威胁。"

* 本文为闫志坤编译,原文地址:https://thehackernews.com/2024/11/north-korean-hackers-target-crypto.html                        
注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了!快来加入我们的粉丝群吧!

🎁 多种报告,产业趋势、技术趋势

这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您!

👉 扫码立即加入,精彩不容错过!

朝鲜黑客瞄准macOS用户

😄嘻嘻,我们群里见!

更多推荐

朝鲜黑客瞄准macOS用户
朝鲜黑客瞄准macOS用户
朝鲜黑客瞄准macOS用户

原文始发于微信公众号(数世咨询):朝鲜黑客瞄准macOS用户

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月13日17:55:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客瞄准macOS用户http://cn-sec.com/archives/3392101.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息