Các nhà nghiên cứu trong quá trình phân tích các dữ liệu tải trọng đã phát hiện ra rằng, những kẻ tấn công đã dựa vào các kỹ thuật bất thường và cơ chế duy trì dựa trên tín hiệu chưa từng thấy trước đây.

Tin tặc triển khai các bước tấn công gồm liên hệ với nạn nhân qua nền tảng trò chuyện trực tuyến Telegram và dụ họ chạy bản cập nhật bộ công cụ phát triển phần mềm SDK Zoom giả mạo, được gửi qua công cụ quản lý lịch Calendly và thư điên tử.

Phần mềm độc hại macOS nâng cao

Mới đây, các nhà nghiên cứu tại công ty an ninh mạng SentinelOne cho biết, các tác nhân đe dọa đã sử dụng ngôn ngữ lập trình C++ và các tệp nhị phân do Nim biên dịch (gọi chung là NimDoor) trên hệ điều hành macOS, đây được xem "là một lựa chọn bất thường hơn".

Một trong các tệp nhị phân do Nim biên dịch, 'trình cài đặt' chịu trách nhiệm thiết lập và dàn dựng ban đầu, sau đó chuẩn bị các thư mục và đường dẫn cấu hình. Tin tặc cũng thả hai tệp nhị phân khác là 'GoogIe LLC', 'CoreKitAgent' vào hệ thống của nạn nhân.

GoogIe LLC tiếp quản để thu thập dữ liệu môi trường và tạo tệp cấu hình được mã hóa hệ lục thập phân (hex), ghi tệp đó vào đường dẫn tạm thời. GoogIe LLC thiết lập nền tảng macOS LaunchAgent (com.google.update.plist) để duy trì, khởi chạy lại GoogIe LLC khi đăng nhập và lưu trữ khóa xác thực cho các giai đoạn sau.

Thành phần tiên tiến nhất được sử dụng trong cuộc tấn công là CoreKitAgent, tải trọng chính của khung NimDoor, hoạt động như một tệp nhị phân theo sự kiện, sử dụng cơ chế hệ thống con (kqueue) của macOS để quản lý thực thi không đồng bộ.

masOS triển khai máy trạng thái trong 10 trường hợp với bảng chuyển đổi trạng thái được mã hóa cứng, cho phép luồng điều khiển linh hoạt dựa trên các điều kiện thời gian chạy.

Tính năng đặc biệt nhất là cơ chế duy trì dựa trên tín hiệu, trong đó cài đặt trình xử lý tùy chỉnh cho tín hiệu SIGINT và SIGTERM.

Đây là những tín hiệu thường được sử dụng để chấm dứt các quy trình, nhưng khi một trong hai bị buộc phải chấm dứt, CoreKitAgent sẽ kích hoạt một quy trình cài đặt lại để triển khai lại GoogIe LLC, khôi phục chuỗi duy trì.

"Khi được kích hoạt, CoreKitAgent sẽ bắt các tín hiệu này và ghi LaunchAgent để duy trì, một bản sao của GoogIe LLC làm trình tải và một bản sao của chính nó làm phần mềm độc hại (trojan), thiết lập quyền thực thi cho hai mục sau thông qua hàm addExecutionPermissions_user95startup95mainZutils_u32", SentinelLABS giải thích.

"Hành vi này đảm bảo rằng bất kỳ hành động chấm dứt phần mềm độc hại nào do người dùng khởi tạo đều dẫn đến việc triển khai các thành phần cốt lõi, giúp mã có khả năng phục hồi trước các hành động phòng thủ cơ bản".

CoreKitAgent giải mã và chạy AppleScript được mã hóa hex, báo hiệu đến cơ sở hạ tầng của kẻ tấn công sau mỗi 30 giây, trích xuất dữ liệu hệ thống và thực thi các lệnh từ xa thông qua osascript (một công cụ dòng lệnh trên macOS dùng để thực thi các đoạn mã AppleScript hoặc JavaScript), cung cấp một cửa hậu nhẹ.

Cùng với quá trình thực thi NimDoor, 'zoom_sdk_support.scpt' kích hoạt chuỗi xâm nhập thứ hai liên quan đến 'trojan1_arm64', khởi tạo giao tiếp C2 dựa trên WSS và tải xuống hai tập lệnh (upl và tlgrm) tạo điều kiện cho việc đánh cắp dữ liệu.

Trong trường hợp trình tải 'zoom_sdk_support.scpt', các nhà nghiên cứu nhận thấy rằng nó bao gồm hơn 10.000 dòng trống cho mục đích che giấu.

Upl trích xuất dữ liệu từ trình duyệt web và lấy Keychain, .bash_history và .zsh_history, sau đó trích xuất dữ liệu bằng curl để lưu trữ dataupload[.]store.

Telegram tập trung vào việc đánh cắp cơ sở dữ liệu của nền tảng này cùng với .tempkeyEncrypted, có khả năng sử dụng chúng để giải mã các tin nhắn mà mục tiêu trao đổi trên nền tảng.

Nhìn chung, khuôn khổ NimDoor và các cửa hậu còn lại mà SentinelLABS phân tích là một số thuộc phần mềm độc hại macOS phức tạp nhất, có liên quan đến các tác nhân đe dọa từ Triều Tiên.

Tính mô-đun của phần mềm độc hại, mang lại sự linh hoạt, và việc sử dụng các kỹ thuật mới như tính bền bỉ dựa trên tín hiệu cho thấy các tin tặc đến từ Triều Tiên phát triển bộ công cụ của họ để mở rộng khả năng đa nền tảng của họ.

Báo cáo của SentinelLABS bao gồm các chỉ số xâm phạm đối với các miền, đường dẫn tệp, tập lệnh và tệp nhị phân mà tác nhân đe dọa của Triều Tiên sử dụng trong các cuộc tấn công nhằm đánh cắp tài sản tiền điện tử và thông tin nhạy cảm.