Βορειοκορεάτες hackers χρησιμοποιούν το νέο macOS malware NimDoor
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Βορειοκορεάτες hackers χρησιμοποιούν το νέο macOS malware NimDoor
https://www.secnews.gr/652836/boreiokoreates-hackers-xrisimopoioun-neo-macos-malware-nimdoor/
Jul 3rd 2025, 11:26
by Digital Fortress
Βορειοκορεάτες hackers χρησιμοποιούν ένα νέο macOS malware, με το όνομα NimDoor, σε στοχευμένες επιθέσεις κατά εταιρειών Web3 και της βιομηχανίας crypto.
Η ερευνητική ομάδα της SentinelOne εντόπισε την καμπάνια και δημοσίευσε σχετική τεχνική ανάλυση, αποκαλύπτοντας ότι η επίθεση συνδυάζει ασυνήθιστες τεχνικές, Nim-compiled binaries, καθώς και έναν μοναδικό μηχανισμό παραμονής στο σύστημα.
Η μέθοδος προσέγγισης θυμάτων περιλαμβάνει επικοινωνία μέσω Telegram, όπου οι επιτιθέμενοι προσποιούνται ότι ζητούν βοήθεια ή προσφέρουν συνεργασία, προωθώντας ένα αρχείο που υποτίθεται ότι είναι ενημέρωση Zoom SDK. Το κακόβουλο payload αποστέλλεται μέσω Calendly και email, μια τακτική που θυμίζει προηγούμενες επιθέσεις του γνωστού βορειοκορεατικού APT group BlueNoroff.
Δείτε επίσης: Η BlueNoroff διανέμει MacOS malware μέσω deepfake βίντεο σε Zoom meetings
Τεχνική ανάλυση του macOS malware NimDoor
Σύμφωνα με τους ερευνητές, οι Βορειοκορεάτες hackers χρησιμοποιούν C++ και Nim-compiled binaries (τα οποία παρακολουθούνται συλλογικά ως NimDoor) σε macOS, κάτι που «είναι μια πιο ασυνήθιστη επιλογή».
Ένα από αυτά τα binaries, ονόματι "installer", προετοιμάζει το έδαφος για την εγκατάσταση, δημιουργώντας καταλόγους και ρυθμίζοντας paths για τη σωστή λειτουργία του. Στη συνέχεια εγκαθιστά τα αρχεία "GoogIe LLC" και "CoreKitAgent", τα οποία υλοποιούν τον βασικό κορμό της κακόβουλης δραστηριότητας.
Το GoogIe LLC συλλέγει πληροφορίες από το περιβάλλον του χρήστη και δημιουργεί ένα hex-encoded config file, το οποίο το αποθηκεύει σε temp path. Επιπλέον, εγκαθιστά ένα macOS LaunchAgent (com.google.update.plist) που εξασφαλίζει την παραμονή του κακόβουλου λογισμικού μετά την επανεκκίνηση του συστήματος, ενεργοποιώντας εκ νέου το GoogIe LLC και αποθηκεύοντας τα credentials για μεταγενέστερη χρήση.
Το πιο εξελιγμένο στοιχείο της καμπάνιας, όμως, είναι το CoreKitAgent, το βασικό payload του NimDoor framework, το οποίο λειτουργεί ως event-driven binary, χρησιμοποιώντας τον μηχανισμό kqueue του macOS για ασύγχρονη εκτέλεση. Περιλαμβάνει ένα 10-case state machine, με hardcoded state transition table, επιτρέποντας ευέλικτη ροή ελέγχου με βάση τις συνθήκες εκτέλεσης.
Ανθεκτικότητα μέσω signal-based persistence
Η πιο καινοτόμα τεχνική σε αυτή την καμπάνια αφορά τη χρήση σημάτων συστήματος (SIGINT και SIGTERM) – τα οποία κανονικά χρησιμοποιούνται για τον τερματισμό διεργασιών. Ωστόσο, όταν εντοπιστεί κάποιο από τα δύο, το CoreKitAgent ενεργοποιεί μια ρουτίνα επανεγκατάστασης που αναπτύσσει ξανά το GoogIe LLC, αποκαθιστώντας την αλυσίδα persistence.
Δείτε επίσης: Fake εφαρμογές Ledger κλέβουν seed phrases χρηστών macOS
«Όταν ενεργοποιείται, το CoreKitAgent συλλαμβάνει αυτά τα σήματα και γράφει το LaunchAgent για persistence, ένα αντίγραφο του GoogIe LLC ως loader και ένα αντίγραφο του εαυτού του ως trojan, ορίζοντας δικαιώματα εκτέλεσης στα δύο τελευταία μέσω της συνάρτησης addExecutionPermissions_user95startup95mainZutils_u32», εξηγεί η SentinelLABS.
«Αυτή η συμπεριφορά διασφαλίζει ότι οποιοσδήποτε τερματισμός του κακόβουλου λογισμικού που ξεκινά από τον χρήστη οδηγεί τελικά στην ανάπτυξη των βασικών στοιχείων, καθιστώντας τον κώδικα ανθεκτικό σε βασικές αμυντικές ενέργειες».
NimDoor: Η νέα πολυεπίπεδη απειλή των Βορειοκορεατών για macOS
Σύμφωνα με τη SentinelLabs, το CoreKitAgent, αποκωδικοποιεί και εκτελεί ένα hex-encoded AppleScript, το οποίο λειτουργεί ως lightweight backdoor. Το script επικοινωνεί κάθε 30 δευτερόλεπτα με την υποδομή των επιτιθέμενων, αποσπά πληροφορίες από το σύστημα του θύματος και εκτελεί απομακρυσμένες εντολές μέσω της λειτουργίας osascript.
Παράλληλα με την ενεργοποίηση του NimDoor malware, το κακόβουλο αρχείο zoom_sdk_support.scpt ενεργοποιεί μια δεύτερη αλυσίδα επίθεσης, μέσω του εκτελέσιμου trojan1_arm64. Το τελευταίο ξεκινά επικοινωνία Command & Control μέσω WSS και κατεβάζει δύο ειδικά σχεδιασμένα scripts, με τις ονομασίες upl και tlgrm, τα οποία στοχεύουν στην κλοπή δεδομένων.
Ιδιαίτερη εντύπωση προκαλεί το γεγονός ότι το zoom_sdk_support.scpt περιλαμβάνει πάνω από 10.000 κενές γραμμές κώδικα, μια τεχνική obfuscation που στοχεύει στην αποφυγή ανίχνευσης από εργαλεία ασφαλείας.
Το script upl εστιάζει στην εξαγωγή δεδομένων από προγράμματα περιήγησης, καθώς και στην απόκτηση κρίσιμων αρχείων όπως τα Keychain credentials και τα .bash_history και .zsh_history. Τα δεδομένα αποστέλλονται στους επιτιθέμενους μέσω curl requests προς τον απομακρυσμένο server data[.]store.
Το tlgrm εστιάζει στην πλατφόρμα Telegram, στοχεύοντας συγκεκριμένα την τοπική βάση δεδομένων της εφαρμογής και το αρχείο .tempkeyEncrypted, πιθανότατα για την αποκρυπτογράφηση συνομιλιών του θύματος.
Το NimDoor αναδεικνύεται ως ένα από τα πιο εξελιγμένα macOS malware
Η SentinelLabs χαρακτηρίζει το NimDoor και τα δευτερεύοντα backdoors του ως μία από τις πιο εξελιγμένες οικογένειες malware για macOS που έχουν αποδοθεί ποτέ σε Βορειοκορεάτες hackers.
Η modular αρχιτεκτονική, η υιοθέτηση signal-based μηχανισμών persistence και η δυναμική χρήση scripting τεχνικών σε περιβάλλον macOS δείχνουν ότι οι επιτιθέμενοι από τη Λαϊκή Δημοκρατία της Κορέας επεκτείνουν ραγδαία το toolkit τους, επιδιώκοντας πολλαπλές πλατφόρμες και πιο ευέλικτες επιθέσεις.
Δείτε επίσης: Η Apple διορθώνει σοβαρά ελαττώματα ασφαλείας σε iOS και macOS
Η έκθεση της SentinelLabs περιλαμβάνει αναλυτικούς δείκτες παραβίασης (IoCs), όπως domains, paths, scripts και binaries που χρησιμοποιήθηκαν στην καμπάνια. Οι στόχοι είναι σαφείς: κρυπτονομίσματα και ευαίσθητες προσωπικές πληροφορίες.
Τα Mac δεν είναι άτρωτα
Το νέο malware επιβεβαιώνει ότι οι χρήστες Mac δεν μπορούν να θεωρούνται εκτός κινδύνου. Οι καμπάνιες κακόβουλου λογισμικού για macOS έχουν πλέον διευρυνθεί σημαντικά, από απλές αποστολές κλοπής δεδομένων έως πολύπλοκες, στοχευμένες επιχειρήσεις κατασκοπείας που εστιάζουν σε κρυπτονομίσματα και ευαίσθητες επιχειρηματικές πληροφορίες.
Προστασία από macOS malware
Η Apple προσφέρει κάποιες ενσωματωμένες δυνατότητες ασφαλείας, όπως το Gatekeeper και το XProtect για την πρόληψη κάποιας μόλυνσης.
Αλλά υπάρχουν και κάποιες άλλες μέθοδοι προστασίας:
• Διατηρήστε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα για να επιδιορθώσετε τυχόν γνωστά τρωτά σημεία
• Να είστε προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων ή αρχείων από άγνωστες πηγές
• Χρησιμοποιήστε ένα αξιόπιστο λογισμικό προστασίας από ιούς, ειδικά εάν κάνετε συχνά λήψη αρχείων από το Διαδίκτυο
• Ενεργοποιήστε το FileVault, το οποίο κρυπτογραφεί τα δεδομένα σας και τα προστατεύει σε περίπτωση κλοπής ή μη εξουσιοδοτημένης πρόσβασης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας σε έναν εξωτερικό σκληρό δίσκο
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Βορειοκορεάτες hackers χρησιμοποιούν το νέο macOS malware NimDoor
https://www.secnews.gr/652836/boreiokoreates-hackers-xrisimopoioun-neo-macos-malware-nimdoor/
Jul 3rd 2025, 11:26
by Digital Fortress
Βορειοκορεάτες hackers χρησιμοποιούν ένα νέο macOS malware, με το όνομα NimDoor, σε στοχευμένες επιθέσεις κατά εταιρειών Web3 και της βιομηχανίας crypto.
Η ερευνητική ομάδα της SentinelOne εντόπισε την καμπάνια και δημοσίευσε σχετική τεχνική ανάλυση, αποκαλύπτοντας ότι η επίθεση συνδυάζει ασυνήθιστες τεχνικές, Nim-compiled binaries, καθώς και έναν μοναδικό μηχανισμό παραμονής στο σύστημα.
Η μέθοδος προσέγγισης θυμάτων περιλαμβάνει επικοινωνία μέσω Telegram, όπου οι επιτιθέμενοι προσποιούνται ότι ζητούν βοήθεια ή προσφέρουν συνεργασία, προωθώντας ένα αρχείο που υποτίθεται ότι είναι ενημέρωση Zoom SDK. Το κακόβουλο payload αποστέλλεται μέσω Calendly και email, μια τακτική που θυμίζει προηγούμενες επιθέσεις του γνωστού βορειοκορεατικού APT group BlueNoroff.
Δείτε επίσης: Η BlueNoroff διανέμει MacOS malware μέσω deepfake βίντεο σε Zoom meetings
Τεχνική ανάλυση του macOS malware NimDoor
Σύμφωνα με τους ερευνητές, οι Βορειοκορεάτες hackers χρησιμοποιούν C++ και Nim-compiled binaries (τα οποία παρακολουθούνται συλλογικά ως NimDoor) σε macOS, κάτι που «είναι μια πιο ασυνήθιστη επιλογή».
Ένα από αυτά τα binaries, ονόματι "installer", προετοιμάζει το έδαφος για την εγκατάσταση, δημιουργώντας καταλόγους και ρυθμίζοντας paths για τη σωστή λειτουργία του. Στη συνέχεια εγκαθιστά τα αρχεία "GoogIe LLC" και "CoreKitAgent", τα οποία υλοποιούν τον βασικό κορμό της κακόβουλης δραστηριότητας.
Το GoogIe LLC συλλέγει πληροφορίες από το περιβάλλον του χρήστη και δημιουργεί ένα hex-encoded config file, το οποίο το αποθηκεύει σε temp path. Επιπλέον, εγκαθιστά ένα macOS LaunchAgent (com.google.update.plist) που εξασφαλίζει την παραμονή του κακόβουλου λογισμικού μετά την επανεκκίνηση του συστήματος, ενεργοποιώντας εκ νέου το GoogIe LLC και αποθηκεύοντας τα credentials για μεταγενέστερη χρήση.
Το πιο εξελιγμένο στοιχείο της καμπάνιας, όμως, είναι το CoreKitAgent, το βασικό payload του NimDoor framework, το οποίο λειτουργεί ως event-driven binary, χρησιμοποιώντας τον μηχανισμό kqueue του macOS για ασύγχρονη εκτέλεση. Περιλαμβάνει ένα 10-case state machine, με hardcoded state transition table, επιτρέποντας ευέλικτη ροή ελέγχου με βάση τις συνθήκες εκτέλεσης.
Ανθεκτικότητα μέσω signal-based persistence
Η πιο καινοτόμα τεχνική σε αυτή την καμπάνια αφορά τη χρήση σημάτων συστήματος (SIGINT και SIGTERM) – τα οποία κανονικά χρησιμοποιούνται για τον τερματισμό διεργασιών. Ωστόσο, όταν εντοπιστεί κάποιο από τα δύο, το CoreKitAgent ενεργοποιεί μια ρουτίνα επανεγκατάστασης που αναπτύσσει ξανά το GoogIe LLC, αποκαθιστώντας την αλυσίδα persistence.
Δείτε επίσης: Fake εφαρμογές Ledger κλέβουν seed phrases χρηστών macOS
«Όταν ενεργοποιείται, το CoreKitAgent συλλαμβάνει αυτά τα σήματα και γράφει το LaunchAgent για persistence, ένα αντίγραφο του GoogIe LLC ως loader και ένα αντίγραφο του εαυτού του ως trojan, ορίζοντας δικαιώματα εκτέλεσης στα δύο τελευταία μέσω της συνάρτησης addExecutionPermissions_user95startup95mainZutils_u32», εξηγεί η SentinelLABS.
«Αυτή η συμπεριφορά διασφαλίζει ότι οποιοσδήποτε τερματισμός του κακόβουλου λογισμικού που ξεκινά από τον χρήστη οδηγεί τελικά στην ανάπτυξη των βασικών στοιχείων, καθιστώντας τον κώδικα ανθεκτικό σε βασικές αμυντικές ενέργειες».
NimDoor: Η νέα πολυεπίπεδη απειλή των Βορειοκορεατών για macOS
Σύμφωνα με τη SentinelLabs, το CoreKitAgent, αποκωδικοποιεί και εκτελεί ένα hex-encoded AppleScript, το οποίο λειτουργεί ως lightweight backdoor. Το script επικοινωνεί κάθε 30 δευτερόλεπτα με την υποδομή των επιτιθέμενων, αποσπά πληροφορίες από το σύστημα του θύματος και εκτελεί απομακρυσμένες εντολές μέσω της λειτουργίας osascript.
Παράλληλα με την ενεργοποίηση του NimDoor malware, το κακόβουλο αρχείο zoom_sdk_support.scpt ενεργοποιεί μια δεύτερη αλυσίδα επίθεσης, μέσω του εκτελέσιμου trojan1_arm64. Το τελευταίο ξεκινά επικοινωνία Command & Control μέσω WSS και κατεβάζει δύο ειδικά σχεδιασμένα scripts, με τις ονομασίες upl και tlgrm, τα οποία στοχεύουν στην κλοπή δεδομένων.
Ιδιαίτερη εντύπωση προκαλεί το γεγονός ότι το zoom_sdk_support.scpt περιλαμβάνει πάνω από 10.000 κενές γραμμές κώδικα, μια τεχνική obfuscation που στοχεύει στην αποφυγή ανίχνευσης από εργαλεία ασφαλείας.
Το script upl εστιάζει στην εξαγωγή δεδομένων από προγράμματα περιήγησης, καθώς και στην απόκτηση κρίσιμων αρχείων όπως τα Keychain credentials και τα .bash_history και .zsh_history. Τα δεδομένα αποστέλλονται στους επιτιθέμενους μέσω curl requests προς τον απομακρυσμένο server data[.]store.
Το tlgrm εστιάζει στην πλατφόρμα Telegram, στοχεύοντας συγκεκριμένα την τοπική βάση δεδομένων της εφαρμογής και το αρχείο .tempkeyEncrypted, πιθανότατα για την αποκρυπτογράφηση συνομιλιών του θύματος.
Το NimDoor αναδεικνύεται ως ένα από τα πιο εξελιγμένα macOS malware
Η SentinelLabs χαρακτηρίζει το NimDoor και τα δευτερεύοντα backdoors του ως μία από τις πιο εξελιγμένες οικογένειες malware για macOS που έχουν αποδοθεί ποτέ σε Βορειοκορεάτες hackers.
Η modular αρχιτεκτονική, η υιοθέτηση signal-based μηχανισμών persistence και η δυναμική χρήση scripting τεχνικών σε περιβάλλον macOS δείχνουν ότι οι επιτιθέμενοι από τη Λαϊκή Δημοκρατία της Κορέας επεκτείνουν ραγδαία το toolkit τους, επιδιώκοντας πολλαπλές πλατφόρμες και πιο ευέλικτες επιθέσεις.
Δείτε επίσης: Η Apple διορθώνει σοβαρά ελαττώματα ασφαλείας σε iOS και macOS
Η έκθεση της SentinelLabs περιλαμβάνει αναλυτικούς δείκτες παραβίασης (IoCs), όπως domains, paths, scripts και binaries που χρησιμοποιήθηκαν στην καμπάνια. Οι στόχοι είναι σαφείς: κρυπτονομίσματα και ευαίσθητες προσωπικές πληροφορίες.
Τα Mac δεν είναι άτρωτα
Το νέο malware επιβεβαιώνει ότι οι χρήστες Mac δεν μπορούν να θεωρούνται εκτός κινδύνου. Οι καμπάνιες κακόβουλου λογισμικού για macOS έχουν πλέον διευρυνθεί σημαντικά, από απλές αποστολές κλοπής δεδομένων έως πολύπλοκες, στοχευμένες επιχειρήσεις κατασκοπείας που εστιάζουν σε κρυπτονομίσματα και ευαίσθητες επιχειρηματικές πληροφορίες.
Προστασία από macOS malware
Η Apple προσφέρει κάποιες ενσωματωμένες δυνατότητες ασφαλείας, όπως το Gatekeeper και το XProtect για την πρόληψη κάποιας μόλυνσης.
Αλλά υπάρχουν και κάποιες άλλες μέθοδοι προστασίας:
• Διατηρήστε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα για να επιδιορθώσετε τυχόν γνωστά τρωτά σημεία
• Να είστε προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων ή αρχείων από άγνωστες πηγές
• Χρησιμοποιήστε ένα αξιόπιστο λογισμικό προστασίας από ιούς, ειδικά εάν κάνετε συχνά λήψη αρχείων από το Διαδίκτυο
• Ενεργοποιήστε το FileVault, το οποίο κρυπτογραφεί τα δεδομένα σας και τα προστατεύει σε περίπτωση κλοπής ή μη εξουσιοδοτημένης πρόσβασης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας σε έναν εξωτερικό σκληρό δίσκο
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz