Koreańscy hakerzy publikują złośliwe oprogramowanie NimDoor na macOS za pośrednictwem fałszywych aktualizacji Zoom
Nowy raport SentinelLabs, opublikowany 2 lipca 2025 r., ujawnia wyrafinowaną kampanię cyberataków wymierzoną w firmy Web3 i kryptowalutowe . Podmioty zagrażające powiązane z Koreą Północną agresywnie wykorzystują systemy macOS za pomocą nowo odkrytego złośliwego oprogramowania o nazwie NimDoor, wykorzystując złożone, wieloetapowe ataki i szyfrowaną komunikację, aby pozostać niewykrytymi.
Badania, których autorami są Phil Stokes i Raffaele Sabato, a które udostępniono Hackread.com, podkreślają zmianę podejścia atakujących w kierunku mniej popularnych, wieloplatformowych języków programowania, takich jak Nim. Ta zmiana komplikuje wysiłki mające na celu wykrywanie i analizowanie ich złośliwych działań.
Grupa wykorzystuje również AppleScript w sprytny sposób, nie tylko do początkowego naruszenia, ale także jako proste, trudne do wykrycia tylne drzwi. Ich metody wykazują wyraźną poprawę w pozostawaniu ukrytym i trwałym, w tym używanie szyfrowanej komunikacji WebSocket (wss) i nietypowych sposobów utrzymywania dostępu nawet po rzekomym wyłączeniu złośliwego oprogramowania.
Ataki zaczynają się od znanego triku socjotechnicznego: hakerzy udają zaufane kontakty na platformach takich jak Telegram, zapraszając cele na fałszywe spotkania Zoom . Wysyłają e-maile ze złośliwym skryptem aktualizacji Zoom SDK, który ma wyglądać legalnie, ale w rzeczywistości jest mocno zamaskowany tysiącami linii ukrytego kodu. Następnie ten skrypt pobiera bardziej szkodliwe programy ze stron internetowych kontrolowanych przez atakujących, które często używają nazw podobnych do prawdziwych domen Zoom, aby oszukać użytkowników.
Po wejściu do środka proces infekcji staje się wielowarstwowy. Hakerzy wdrażają kilka narzędzi, w tym program C++, który wstrzykuje złośliwy kod do legalnych procesów, co jest rzadką techniką w przypadku złośliwego oprogramowania macOS. Pozwala im to kraść poufne dane, takie jak informacje o przeglądarce, hasła Keychain, historię powłoki i historie czatów Telegram.
Według wpisu na blogu SentinelLabs, instalują oni również skompilowane przez Nim złośliwe oprogramowanie „NimDoor”, które konfiguruje długoterminowy dostęp. Obejmuje to komponent o nazwie „GoogIe LLC” (zwróć uwagę na mylące wielkie „i” zamiast małej litery „L”), który pomaga złośliwemu oprogramowaniu wtopić się w otoczenie. Co ciekawe, złośliwe oprogramowanie zawiera unikalną funkcję, która uruchamia jego główne komponenty i zapewnia ciągły dostęp, jeśli użytkownik spróbuje je zamknąć lub system zostanie ponownie uruchomiony.
Analiza SentinelLabs pokazuje, że ci aktorzy powiązani z Koreą Północną nieustannie opracowują nowe sposoby omijania zabezpieczeń. Ich użycie Nim, języka, który pozwala im osadzać złożone zachowania w skompilowanych programach, utrudnia ekspertom ds. bezpieczeństwa zrozumienie, jak działa złośliwe oprogramowanie. Ponadto używanie AppleScript do prostych zadań, takich jak regularne sprawdzanie serwerów, pomaga im unikać używania bardziej tradycyjnych, łatwo wykrywalnych narzędzi hakerskich.
Raport pokazuje dalej, jak ważne jest dla firm wzmocnienie swoich zabezpieczeń, ponieważ zagrożenia te ciągle się zmieniają. Ponieważ hakerzy wypróbowują nowe języki programowania i bardziej zaawansowane taktyki, badacze cyberbezpieczeństwa muszą uaktualnić sposób wykrywania i zatrzymywania tych ataków. SentinelLabs podsumowuje to, nazywając je „nieuniknionymi atakami”, na które każdy powinien być gotowy.
HackRead
