最近,安全圈又炸锅了,据说朝鲜黑客盯上了Web3和加密货币圈子。这些家伙可不是吃素的,他们用定制的Mac恶意软件,伪装成Zoom会议邀请,专门攻破受害者的系统,窃取敏感数据,而且还能神不知鬼不觉地躲过各种安全检测。真是TMD离谱!
SentinelOne实验室的研究人员可算是扒下了他们的画皮。这份报告详细描述了这套多阶段攻击链:先是社会工程学钓鱼,接着是各种花里胡哨的AppleScript脚本,最后再用Nim语言编译的二进制文件完成致命一击。不得不说,这帮人玩得是真的高。
Nim语言在macOS上本来就不常见,这就给检测增加了不少难度。这次被命名为“NimDoor”的行动,充分暴露了朝鲜威胁组织为了攻破安全防线、窃取加密货币业务敏感数据,其战术进化得有多么鬼魅。
这套“组合拳”到底怎么打的?
说来也简单,但真要防住可就没那么容易了。初始的入侵往往都从社工钓鱼开始。黑客们会在Telegram上冒充你的“靠谱”联系人,然后诱导受害者通过Calendly链接去安排Zoom会议。这套路属实有点“老”了,但架不住很多人还是会中招啊。
这tm是啥?一个叫“Zook”而不是“Zoom”的SDK更新脚本?黑客是真把人当傻子吗?(图片来源:SentinelOne)
受害者会收到伪装成Zoom SDK更新的钓鱼邮件,里面藏着一个投毒的AppleScript文件。这些脚本里填充了成千上万行无用代码,目的就是为了逃避检测。接着,它们会从黑客控制的服务器上下载额外的恶意软件,而这些服务器还模仿得跟Zoom官方域名一模一样。就问你服不服!
一旦执行,这些脚本就会继续下载其他恶意负载到受害者的机器上。研究人员发现,他们通常会部署两个主要的Mach-O二进制文件——一个用C++编写,另一个用Nim编写——两者配合行动,以保持持久访问和窃取数据。这比单一Payload的攻击方式明显更高级,也更难追踪。
这些恶意软件还玩出了花样,比如在macOS上使用不常见的进程注入技术,还带特殊权限。更骚的是,它们通过TLS加密的WebSockets(wss)进行加密通信,并通过基于信号的持久化机制确保自己“永生不死”。
这些机制确保了当用户试图终止恶意软件,或者系统重启时,恶意软件都能自动重新安装。这波操作,简直是把用户玩弄于股掌之间啊!
高级数据窃取与持久化?这不就是明抢吗!
数据外泄这块,黑客们用Bash脚本扫荡受害者的浏览器历史、钥匙串凭据和Telegram数据。被盯上的浏览器涵盖面还挺广,包括Arc、Brave、Firefox、Chrome和Microsoft Edge。我的天,这基本就是全家桶啊!
恶意软件甚至还会窃取加密的本地Telegram数据库,这简直是为线下破解量身定制的。加密就安全了吗?在他们面前,隐私简直不值一提。
持久化方面,他们真是把macOS的LaunchAgents和欺骗性命名规则玩明白了。举个例子,恶意软件会将二进制文件安装成“GoogIe LLC”这样的名字,用大写的“i”替换小写的“L”,以此来伪装成合法的Google文件。这种小伎俩,不仔细看谁能发现?
另一个二进制文件叫“CoreKitAgent”,它会监控系统信号,如果被终止就重新安装。此外,它还包含反分析措施,比如10分钟的异步休眠周期,以此来规避安全沙箱的检测。这心思,是真缜密啊!
SentinelOne的MLIL视图展示了恶意软件如何处理命令。看起来很高深,对普通用户来说,这就是一堆天书啊。(图片来源:SentinelOne)
SentinelOne的报告指出,Nim语言的运用代表了威胁行为者工具的进化。Nim的编译时执行以及开发者代码和运行时代码的交织,使得静态分析变得更加困难。这意味着,传统的杀毒软件和安全工具,可能压根就发现不了这些混蛋!
而基于AppleScript的信标提供了轻量级的命令与控制功能。它避免了依赖那些很容易触发警报的重型后渗透框架。这种“悄无声息”的攻击方式,简直让人防不胜防。
怎么才能从“NimDoor”手里活下来?
首先,千万别TM手贱。收到不怀好意的邮件或信息(哪怕看起来像是“靠谱”联系人发来的),别随便运行里面的脚本或软件更新。仔细检查URL也很重要,黑客们经常会搞一些山寨域名来骗人。
其次,macOS和所有应用程序都得保持最新。更新最新的安全补丁,能有效减少恶意软件可利用的漏洞。这点是老生常谈了,但总有人懒得做。
再者,用TM靠谱的终端安全工具,能够检测到诸如进程注入、恶意AppleScript或未经授权的启动代理等可疑行为。定期检查登录项和LaunchAgents,可以揪出那些未经授权的持久化入口。这点对普通用户来说可能有点门槛,但为了安全,这点学习成本算什么?
最后,设TMD复杂密码,能开多因素验证的都给我开起来!这是最基本的安全常识,但也是最容易被忽视的。别觉得麻烦,等你被黑了,麻烦事可就大了。
