„Sentinellabs“, kibernetinio saugumo įmonės „Sentinelone“ tyrimų ir grėsmių žvalgybos padalinys, pasinėrė į naują ir sudėtingą išpuolių kampaniją, vadinamą „Nimdoor“, nukreipdama „MacOS“ įrenginius iš „Dprk Bad“ veikėjų.
Sudėtinga schema apima programavimo kalbą „Nim“ naudojimą, norint įšvirkšti kelias atakų grandines įrenginiuose, naudojamuose mažosiose „Web3“ įmonėse, o tai yra naujausia tendencija.
Savaime paskelbtas tyrėjas Zachxbt taip pat atidengė mokėjimų grandinę, sumokėtą Korėjos IT darbuotojams, o tai galėtų būti šios išradingos įsilaužėlių grupės dalis.
Kaip įvykdoma ataka
Išsami „Sentinellabs“ ataskaita aprašo naują ir užbaigiamą požiūrį į MAC įrenginių pažeidimą.
Tai prasideda dabar pažįstamu būdu: apsimesdamas patikimą kontaktą, kad suplanuotumėte susitikimą kalendiškai, o tikslas vėliau gaudavo el. Laišką, kad atnaujintų mastelio keitimo paraišką. Daugiau informacijos apie šį konkretų sukčiavimo triuką galite rasti mūsų išsamioje ataskaitoje.
Atnaujinimo scenarijus baigiasi trimis kenksmingo kodo eilutėmis, kurios atgauna ir atlieka antrojo etapo scenarijų iš kontroliuojamo serverio į teisėtą mastelio keitimo susitikimo nuorodą.
Spustelėję nuorodą automatiškai atsisiunčia du „Mac“ dvejetainius failus, kurie inicijuoja dvi nepriklausomas vykdymo grandines: pirmieji įbrėžiami bendrosios sistemos informacija ir konkrečios programos duomenys. Antrasis užtikrina, kad užpuolikas turės ilgalaikę prieigą prie paveiktos mašinos.
Tada atakos grandinė tęsiasi įdiegdama du „Bash“ scenarijus per trojaną. Vienas iš jų naudojamas nukreipti duomenis iš konkrečių naršyklių: ARC, „Brave“, „Firefox“, „Chrome“ ir „Edge“. Kiti pavogė „Telegram“ užšifruotus duomenis, o BLOB naudojami juos iššifruoti. Tada duomenys ištraukiami į kontroliuojamą serverį.
Šis požiūris yra išskirtinis ir sudėtingas saugumo analitikams yra kelių kenkėjiškų programų komponentų ir įvairių metodų, naudojamų švirkšti ir apgauti kenkėjiškas programas, naudojimas, todėl ją labai sunku aptikti.
Panašius išpuolius taip pat aptiko „Huntabil.it“ balandžio mėn., O „Huntress“ birželio mėn.
Sekite pinigus
„Zachxbt“, pseudoniminis „blockchain“ tyrėjas, neseniai paskelbtas X su savo naujausiomis išvadomis apie nemažus mokėjimus įvairioms Korėjos Demokratinės Liaudies Respublikos (KLPR) kūrėjams, dirbantiems su įvairiais projektais nuo metų pradžios.
Jam pavyko nustatyti aštuonis atskirus darbuotojus, dirbančius 12 skirtingų bendrovių.
Jo išvados rodo, kad 2,76 mln. USD USDC buvo išsiųsta iš „Circle“ sąskaitų į adresus, susijusius su kūrėjais per mėnesį. Šie adresai yra labai artimi tokiam, kurį 2023 m. Buvo įtrauktas į juodąjį sąrašą, nes jis yra susietas su tariamu sąmokslininku Sim Hyon Sop.
Zachas ir toliau stebi panašias adresų grupes, tačiau nepadarė jokios informacijos viešai, nes jie vis dar aktyvūs.
Jis paskelbė įspėjimą, kuriame teigiama, kad kai šie darbuotojai prisiima nuosavybės teises į sutartis, pagrindiniam projektui gresia didelė rizika.
„Manau, kad kai komanda pasamdo kelis KLPRK ITWS (IT darbuotojus), tai yra tinkamas rodiklis nustatant, kad startuolis bus nesėkmė. Skirtingai nuo kitų grėsmių pramonei, šie darbuotojai turi mažai rafinuotumo, todėl tai daugiausia yra pačios komandos aplaidumo rezultatas.“
„Binance Free“ 600 USD (išskirtinė „Cryptopotato“): naudokite šią nuorodą, kad užregistruotumėte naują sąskaitą ir gautumėte 600 USD išskirtinį pasveikinimo pasiūlymą „Binance“ (Išsami informacija).
Ribotas pasiūlymas „Cryptopotato“ skaitytojams „BYBIT“: naudokite šią nuorodą norėdami registruoti ir atidaryti 500 USD nemokamą vietą bet kurioje monetoje!
