信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“數(shù)世咨詢”，【編譯】閆志坤。

與朝鮮民主主義人民共和國(guó)（DPRK）有聯(lián)系的威脅行為者已被觀察到針對(duì)與加密貨幣相關(guān)的企業(yè)，使用一種多階段惡意軟件，能夠感染蘋果macOS設(shè)備。

網(wǎng)絡(luò)安全公司SentinelOne將該活動(dòng)稱為隱藏風(fēng)險(xiǎn)，并以高度信心將其歸因于BlueNoroff，該組織之前與諸如RustBucket、KANDYKORN、ObjCShellz、RustDoor（又名Thiefbucket）和TodoSwift等惡意軟件家族有關(guān)聯(lián)。

這項(xiàng)活動(dòng)“利用傳播關(guān)于加密貨幣趨勢(shì)的虛假新聞的電子郵件，通過(guò)偽裝成PDF文件的惡意應(yīng)用程序感染目標(biāo)，”研究人員拉法埃爾·薩巴托、菲爾·斯托克斯和湯姆·黑格爾在與《黑客新聞》分享的報(bào)告中表示。

“該活動(dòng)可能早在2024年7月就開始，使用電子郵件和PDF誘餌，配以關(guān)于加密相關(guān)主題的假新聞標(biāo)題或故事。”

根據(jù)美國(guó)聯(lián)邦調(diào)查局（FBI）在2024年9月的公告，這些活動(dòng)是針對(duì)在去中心化金融（DeFi）和加密貨幣領(lǐng)域工作的員工的“高度定制、難以檢測(cè)的社會(huì)工程”攻擊的一部分。

這些攻擊以虛假的工作機(jī)會(huì)或企業(yè)投資的形式出現(xiàn)，與目標(biāo)進(jìn)行長(zhǎng)時(shí)間的互動(dòng)以建立信任，然后再投放惡意軟件。

SentinelOne表示，它在2024年10月底觀察到一起針對(duì)加密相關(guān)行業(yè)的電子郵件釣魚嘗試，該嘗試發(fā)送了一個(gè)偽裝成PDF文件的投放程序（“Hidden Risk Behind New Surge of Bitcoin Price.app”），該文件托管在delphidigital[.]org上。

該應(yīng)用程序是用Swift編程語(yǔ)言編寫的，已于2024年10月19日被發(fā)現(xiàn)簽名并公證，開發(fā)者ID為“Avantis Regtech Private Limited(2S8XHJ7948)”。該簽名已被iPhone制造商撤銷。

在啟動(dòng)時(shí)，該應(yīng)用程序從Google Drive下載并向受害者顯示一個(gè)誘餌PDF文件，同時(shí)秘密地從遠(yuǎn)程服務(wù)器檢索第二階段的可執(zhí)行文件并執(zhí)行它。一個(gè)Mach-O x86-64可執(zhí)行文件，這個(gè)基于C++的未簽名二進(jìn)制文件充當(dāng)后門以執(zhí)行遠(yuǎn)程命令。

后門還結(jié)合了一種新穎的持久性機(jī)制，利用了zshenv配置文件，這標(biāo)志著該技術(shù)首次在惡意軟件作者的實(shí)際應(yīng)用中被濫用。

“研究人員表示：‘這在現(xiàn)代版本的macOS上具有特別的價(jià)值，因?yàn)樘O果在macOS 13 Ventura中引入了后臺(tái)登錄項(xiàng)的用戶通知。’”

“蘋果的通知旨在警告用戶何時(shí)安裝持久性方法，特別是經(jīng)常被濫用的LaunchAgents和LaunchDaemons。然而，濫用zshenv在當(dāng)前版本的macOS中并不會(huì)觸發(fā)這樣的通知。”

該威脅行為者還被觀察到使用域名注冊(cè)商N(yùn)amecheap建立一個(gè)圍繞與加密貨幣、Web3和投資相關(guān)主題的基礎(chǔ)設(shè)施，以賦予其合法性表象。Quickpacket、Routerhosting和Hostwinds是最常用的托管服務(wù)提供商之一。

值得注意的是，攻擊鏈與Kandji在2024年8月強(qiáng)調(diào)的之前的活動(dòng)有一定程度的重疊，該活動(dòng)也使用了一個(gè)名為“Bitcoin價(jià)格下跌的風(fēng)險(xiǎn)因素正在出現(xiàn)(2024).app”的macOS投放應(yīng)用來(lái)部署TodoSwift。

目前尚不清楚是什么促使威脅行為者改變戰(zhàn)術(shù)，以及這是否是對(duì)公眾報(bào)道的回應(yīng)。“北朝鮮行為者以其創(chuàng)造力、適應(yīng)能力和對(duì)其活動(dòng)報(bào)告的意識(shí)而聞名，因此我們很可能只是看到他們的網(wǎng)絡(luò)攻擊計(jì)劃中出現(xiàn)了不同的成功方法，”斯托克斯告訴《黑客新聞》。

另一個(gè)令人擔(dān)憂的方面是BlueNoroff能夠獲取或劫持有效的Apple開發(fā)者賬戶，并利用這些賬戶讓他們的惡意軟件獲得Apple的認(rèn)證。

“在過(guò)去的12個(gè)月左右，北朝鮮的網(wǎng)絡(luò)行動(dòng)者針對(duì)與加密相關(guān)的行業(yè)進(jìn)行了系列活動(dòng)，其中許多活動(dòng)涉及通過(guò)社交媒體對(duì)目標(biāo)進(jìn)行廣泛的‘培養(yǎng)’，”研究人員說(shuō)。

“隱秘風(fēng)險(xiǎn)”運(yùn)動(dòng)偏離了這一策略，采取了一種更傳統(tǒng)和粗糙的電子郵件釣魚方法，盡管這并不一定效果較差。盡管初始感染方法比較直接，但其他朝鮮民主主義人民共和國(guó)支持的運(yùn)動(dòng)的特征仍然明顯。

這一發(fā)展也發(fā)生在朝鮮黑客策劃的其他活動(dòng)之中，他們?cè)噲D在西方的各家公司尋找工作，并通過(guò)偽裝成招聘挑戰(zhàn)或任務(wù)的方式，向潛在求職者傳遞惡意軟件，使用帶有陷阱的代碼庫(kù)和會(huì)議工具。

這兩個(gè)入侵組，稱為Wagemole（又名UNC5267）和Contagious Interview，已被歸因于一個(gè)被追蹤的威脅組，名為Famous Chollima（又名CL-STA-0240和Tenacious Pungsan）。

ESET將Contagious Interview稱為DeceptiveDevelopment，并將其歸類為一個(gè)新的Lazarus Group活動(dòng)集群，旨在針對(duì)全球的自由開發(fā)者進(jìn)行加密貨幣盜竊。

“傳染性面試和工資蟲活動(dòng)展示了朝鮮威脅行為者不斷演變的戰(zhàn)術(shù)，他們繼續(xù)竊取數(shù)據(jù)，在西方國(guó)家獲得遠(yuǎn)程工作，并繞過(guò)金融制裁，”Zscaler ThreatLabz研究員樸成洙本周早些時(shí)候說(shuō)。

"憑借精細(xì)的混淆技術(shù)、多平臺(tái)兼容性和廣泛的數(shù)據(jù)盜竊，這些活動(dòng)對(duì)企業(yè)和個(gè)人構(gòu)成了日益嚴(yán)重的威脅。"

*本文為閆志坤編譯，原文地址：https://thehackernews.com/2024/11/north-korean-hackers-target-crypto.html