Les chercheurs avertissent que les récentes campagnes d’attaque contre WEB3 et les startups cryptographiques par un groupe nord-coréen APT ont exploité une nouvelle famille de logiciels malveillants écrits dans le langage de programmation de niche NIM.
Les acteurs des menaces nord-coréennes ciblent les entreprises des industries Web3 et crypto avec une porte dérobée conçue pour MacOS écrite en langage de programmation de niche NIM. Les attaquants utilisent également Applescript pour les charges utiles en début de stade, y compris une fausse mise à jour de zoom.
« Les acteurs des menaces alignés nord-coréens ont déjà expérimenté GO et Rust, combinant de la même manière les scripts et compilé des binaires dans des chaînes d’attaque à plusieurs étapes », a déclaré les chercheurs de la société de sécurité Sentineone dans un rapport sur la menace. « Cependant, la capacité plutôt unique de NIM à exécuter des fonctions pendant le temps de compilation permet aux attaquants de mélanger le comportement complexe en un binaire avec un flux de contrôle moins évident, ce qui entraîne des binaires compilés dans lesquels le code du développeur et le code d’exécution NIM sont entremêlés même au niveau de la fonction. »
Le ciblage des organisations et des individus de grande valeur avec des actifs cryptographiques n’est pas rare pour les groupes APT liés au gouvernement nord-coréen. Ces groupes sont chargés de collecter des fonds pour le gouvernement et de s’autosuffisant pour financer leurs propres opérations. En tant que tels, les pirates nord-coréens s’engagent à la fois dans le cyberespionnage traditionnel et le sabotage, ainsi que des activités de criminalité financière, y compris le vol de cryptographie, des institutions financières compromettant pour initier des transferts frauduleux et même un ransomware.
Fausses invitations à la réunion de zoom utilisée comme leurre
Les récentes campagnes d’attaque contre les sociétés Crypto et Web3 ont commencé en avril et ont été précédemment documentées par Huntabil.it and Huntress, qui a attribué les attaques à un sous-groupe nord-coréen qui remonte à au moins 2017 et est suivi dans l’industrie de la sécurité sous différents noms: Ta444, Bluenoroff, Saphire Sleet, Copernicium, Stardest Chollima, ou Cageychamelon.
Les victimes ont reçu des messages sur Telegram des contacts impurnés qu’ils connaissaient et en avaient confiance, qui les ont invités à planifier une réunion via Calendly, un service de planification de rendez-vous. Par la suite, ils ont reçu un faux e-mail avec une invitation à une réunion de zoom, ainsi que des instructions pour exécuter un «script de mise à jour du SDK Zoom».
Ce script, appelé zoom_sdk_support.scptest écrit dans AppleScript, un langage développé par Apple pour contrôler les applications macOS Ce script de première étape est rembourré avec 10 000 lignes d’espace blanc pour rendre difficile la lecture du code malveillant, mais son but est de télécharger un script de deuxième étape à partir d’un autre domaine contrôlé par l’attaquant qui contient le Word Zoom. Ce script de deuxième étape télécharge un script HTML qui redirige l’utilisateur vers un véritable lien de réunion de zoom comme distraction de l’exécution de la chaîne d’attaque en arrière-plan.
Un processus d’infection à plusieurs niveaux
La chaîne d’infection télécharge deux applications binaires Mach-O, qui à leur tour téléchargent des composants supplémentaires. La première application, appelée A, est écrite en C ++ et écrit une charge utile cryptée sur disque dans un fichier appelé netchk. Il procède ensuite à décrypter et à exécuter un fichier appelé trojan1_arm64.
Le fichier bénin est exécuté d’abord mais le processus est suspendu, puis le code du trojan1_arm64 est injecté dans la mémoire du processus suspendu et le processus est repris.
« Ce type de technique d’injection de processus est rare dans les logiciels malveillants MacOS et nécessite des droits spécifiques à effectuer », ont déclaré les chercheurs.
Ce qui suit est plus l’obscurcissement et les charges utiles cryptées, ce qui entraîne finalement deux scripts bash, upl et tlgrmqui exfiltrent les données du système et des applications, telles que divers navigateurs et télégrammes.
Le deuxième binaire Mach-O est appelé installer et est compilé à partir du code source NIM. NIM emprunte des concepts de plusieurs autres langages de programmation, y compris Python, mais est connu pour ses performances et sa vitesse par rapport à C et C ++. Il n’est largement utilisé que dans les applications de niche.
Ce composant d’installation supprime des charges utiles supplémentaires écrites dans NIM, dont une appelée Googie LLC et une appelée Corekitagent. Ceux-ci sont utilisés pour mettre en place de la persistance sur le système en interceptant les tentatives de tuer les processus associés à cette attaque et les redémarrer via un lancement. Les chercheurs ont surnommé cette famille de logiciels malveillants Nimdoor.
« Plus tôt cette année, nous avons vu des acteurs de menace utiliser NIM ainsi que Crystal, et nous nous attendons à ce que le choix de langues moins familières devienne une tendance croissante parmi les auteurs de logiciels malveillants macOS en raison de leurs avantages techniques et de leur méconnaissance des analystes », a déclaré le chercheur sentinelone. «Comme toujours dans le jeu de menaces et de menaces de chat et de menace, lorsqu’une partie innove, l’autre doit répondre, et nous encourageons d’autres analystes, chercheurs et ingénieurs de détection à investir des efforts dans la compréhension de ces langues moins connues et comment elles finiront par être exploitées.»
