Финансово мотивированный злоумышленник, известный как UNC1609, использует кампанию социальной инженерии в стиле ClickFix для развертывания нескольких семейств вредоносного ПО для macOS против организаций, ориентированных на криптовалюты.
Согласно новому исследованию Google Cloud Mandiant, недавняя активность была направлена на сотрудника компании, работающей в секторе криптовалют и децентрализованных финансов (DeFi). Исследователи сообщили, что связанная с Северной Кореей группа UNC1069 использовала цепочку социальной инженерии, включавшую взломанный аккаунт Telegram, фальшивую видеоконференцию Zoom, выполнение команд в стиле ClickFix и предполагаемое использование видео, сгенерированного ИИ, для обмана жертвы.
Выдавая себя за известного отраслевого контактного лица и организуя фальшивую видеоконференцию, злоумышленник убедил жертву вручную выполнить вредоносные команды терминала в системе macOS.
ClickFix как начальный доступ
Атака началась с того, что жертве написал пользователь Telegram из скомпрометированного аккаунта, принадлежащего реальному отраслевому руководителю. Установив доверие, злоумышленник пригласил цель на видеоконференцию, организованную на инфраструктуре, контролируемой злоумышленником.
Во время встречи жертва, по сообщениям, видела человека, узнаваемого в индустрии криптовалют. Исследователи предположили, что видео могло быть искусственно сгенерировано или изменено для повышения доверия. Вскоре после начала звонка злоумышленник заявил о проблемах со звуком и дал жертве инструкции по устранению неполадок.
Эти шаги включали копирование и вставку команд в Терминал macOS. Одна из команд использовала «curl», перенаправляя вывод в «zsh», что фактически загружало и выполняло удаленный скрипт. Это действие инициировало цепочку заражения.
Mandiant сообщила, что наблюдали схожие тактики вне этой атаки. «Восстановленная веб-страница содержала два набора команд для «устранения неполадок»: один для систем macOS и один для систем Windows», — отметили исследователи. «Mandiant наблюдали, как UNC1069 применяет эти методы для таргетинга как корпоративных структур, так и отдельных лиц в индустрии криптовалют, включая компании-разработчики программного обеспечения и их разработчиков, а также венчурные фонды и их сотрудников или руководителей».
Известно, что UNC1069 использует такие инструменты, как Google Gemini, для разработки инструментов, проведения оперативных исследований и помощи на этапах разведки, добавили они.
Использование специализированного, неописанного вредоносного ПО для macOS
После установления доступа с помощью ClickFix группа UNC1069 развернула многоступенчатый стек вредоносного ПО для macOS, который Mandiant идентифицировала как включающий WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH и CHROMEPUSH, среди прочих. Несколько из этих семейств вредоносного ПО ранее не были публично документированы до раскрытия информации Mandiant.
WAVESHAPER функционировал как основной бэкдор, устанавливая удаленный доступ и позволяя доставлять дополнительные полезные нагрузки. HYPERCALL действовал как загрузчик, получая вторичные компоненты, такие как HIDDENCALL, который предоставлял возможности для дальнейшего выполнения команд. Такое поэтапное развертывание позволило злоумышленнику расширять контроль над скомпрометированной системой macOS поэтапно, а не выгружать одну большую полезную нагрузку.
DEEPBREATH, инфостилер на языке Swift, был сосредоточен на сборе конфиденциальных данных с хоста. По словам исследователей, он использовал фреймворк Apple Transparency, Consent, and Control (TCC) для доступа к защищенным ресурсам без запроса пользователя. Это позволило собирать данные браузера, материалы связки ключей и содержимое сообщений. CHROMEPUSH, тем временем, нацеливался на браузерные среды, включая файлы cookie сеанса и токены аутентификации.
Исследователи также наблюдали злоупотребление механизмами безопасности macOS, включая функциональность системы XProtect от Apple. Вместо немедленного отключения защит вредоносное ПО использовало доверенные системные компоненты и ожидаемое поведение для снижения видимости обнаружения.
Mandiant заявила, что использование пользовательского, интегрированного набора инструментов указывает на техническую компетентность UNC1069 в специализированных возможностях и обходе безопасности. Компания предоставила список сетевых и хостовых индикаторов компрометации (IOC) для поддержки усилий по обнаружению. Кроме того, в раскрытие информации был включен набор правил YARA, которые также поддерживаются в Google SecOps.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
