Új szintű macOS kártevő
A támadók szokatlan módon C++-ban és Nim nyelven fordított binárisokat készítettek. Az első, „installer” nevű komponens előkészíti a terepet a többi káros fájlnak, könyvtárakat és konfigurációs útvonalakat hoz létre. Ezután két másik binárist ejt a gépre: „GoogIe LLC” és „CoreKitAgent”. A „GoogIe LLC” összegyűjti a rendszerinformációkat, hexadecimális kódolású konfigurációs fájlt generál és egy LaunchAgentet (com.google.update.plist) hoz létre a rendszer automatikus betöltéséhez, illetve autentikációs kulcsokat tárol el.
A legfejlettebb elem a „CoreKitAgent”, amely eseményvezérelt bináris, a macOS kqueue mechanizmusát használva. Tíz állapotot kezel egy beégetett átmeneti táblával, lehetővé téve a dinamikus irányítást.
Halhatatlanság, jelalapú újraéledéssel
A CoreKitAgent legkülönlegesebb tulajdonsága a jelalapú perzisztencia: amikor SIGINT vagy SIGTERM jellel leállítják – ezek klasszikusan a folyamatok megszüntetésére szolgálnak –, a program automatikusan újratelepíti önmagát, a „GoogIe LLC”-t és a trójait, visszaállítva az indító komponenst is. Ezt az addExecutionPermissions_user95startup95mainZutils_u32 függvénnyel teszi futtathatóvá. Így minden felhasználó által kezdeményezett „kilövés” után a fő elemek újra aktívvá válnak, vagyis az ellenintézkedések szinte hatástalanná válnak.
Professzionális adatlopás és hátsó kapu
A CoreKitAgent 30 másodpercenként dekódolt AppleScript-tel kommunikál a támadók infrastruktúrájával, kiszivárogtat rendszeradatokat és távoli parancsokat hajt végre. Ezzel párhuzamosan a „zoom_sdk_support.scpt” nevű scripttel újabb trójai fertőzési láncot indít, lehív két szkriptet („upl” és „tlgrm”). Az „upl” ellopja a böngészők adatait, kulcskarika-információkat, shell-előzményeket, és feltölti azokat egy adatgyűjtő szerverre. A „tlgrm” főként a Telegram-adatbázist és titkos kulcsokat viszi el, így hozzáférhet az áldozat titkosított üzeneteihez.
Komplexitás, fejlődő támadók
A NimDoor és társai a macOS ellen indított legkomplexebb észak-koreai kártevők közé tartoznak. A moduláris szerkezet, a folyamatos működésre kifejlesztett újszerű trükkök és MI-alapú automatizmusok azt mutatják, hogy a Koreai Népi Demokratikus Köztársaság hekkerei egyre profibb platformközi eszközöket vetnek be, célzottan kriptovalutát és érzékeny információkat lopva.
A jelentés kitér a kompromittált domainekre, fájlokra és szkriptekre is, amelyeket a támadók használnak. Bár a felhőalapú támadások mintha bonyolódnának, gyakran mégis egyszerű trükkökkel járnak sikerrel – ahogy az is kiderül: nyolc alapvető technikával aratnak a „felhő-hozzáértő” támadók világszerte.
