北韓駭客近日發動一波針對 macOS 的惡意程式攻擊,手法罕見地複雜且精密,主要鎖定加密貨幣與 Web3 領域的企業。他們透過偽冒的 Zoom 視訊會議邀請進行社交工程攻擊,誘導受害者下載偽裝成 Zoom SDK 更新的惡意檔案。
這波攻擊被美國資安研究機構 SentinelLabs 命名為 「NimDoor」,其複雜程度遠超一般 macOS 惡意程式,綜合運用了 AppleScript、Bash、C++ 以及 Nim 語言,來竊取資料並持續滲透受害者系統。
SentinelLabs 簡要分析重點如下:
- 攻擊者為北韓國家級駭客組織,利用 Nim 編譯的執行檔與多段攻擊鏈,瞄準 Web3 與加密產業。
- 在 macOS 上少見地採用了程序注入(process injection)技術與經過 TLS 加密的 WebSocket 通訊協定(wss)。
- 採用新型「持久化機制」,利用 SIGINT/SIGTERM 訊號處理器,在惡意程式被終止或系統重啟時自動重新安裝核心元件。
- 大量使用 AppleScript,做為滲透初期的攻擊媒介與後期的後門與信標(beacon)。
- 透過 Bash 指令腳本 竊取金鑰鏈(Keychain)憑證、瀏覽器資料、Telegram 使用紀錄 等敏感資訊。
- 分析顯示,此波攻擊整合過往不同攻擊元件,反映北韓駭客工具組正逐步進化。
攻擊從 Telegram 一路到假 Zoom 更新
整個攻擊過程始於社交工程。駭客會在 Telegram 上假冒受害者熟人發送訊息,並請其透過 Calendly 預約通話,接著透過 email 傳送一個假的 Zoom 會議連結,以及安裝「Zoom SDK 更新」的說明。
實際上,這個檔案內含超過 10,000 行空白字元,刻意用來掩蓋其真正用途。一旦執行,便會觸發一連串複雜程序,與遠端 C2(指揮控制)伺服器建立加密連線,並設有備援邏輯,若系統重開機或程式被終止,也能自動重新部署惡意元件。
當惡意程式完成安裝與持久化部署後,Bash 指令便會啟動,開始大量收集憑證與私密資訊,並上傳到遠端伺服器。受害者的金鑰鏈、瀏覽器 cookies、帳號憑證與 Telegram 記錄都在攻擊範圍內。
研究人員:使用 Nim 顯示跨平台惡意程式語言趨勢
SentinelLabs 指出,這次攻擊中的 Nim 語言使用,反映出 macOS 惡意軟體正朝向更複雜且不熟悉的跨平台語言發展,不再僅限於過去常見的 Go、Python 或 shell script。
該報告也包含技術細節,包括散列值(hash)、程式碼片段、攻擊流程圖與螢幕截圖。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
