По данным Microsoft, северокорейские преступники, нацеленные на кражу учетных данных пользователей Apple и криптовалюты, используют комбинацию социальной инженерии и поддельного обновления программного обеспечения Zoom, чтобы заставить людей вручную запускать вредоносное ПО на своих компьютерах.
Команда Microsoft по анализу угроз отслеживает эту группировку, поддерживаемую Пхеньяном, как Sapphire Sleet (также известную как APT38). Это подразделение Lazarus Group действует как минимум с 2020 года и в основном нацелено на финансовый сектор с целью кражи криптовалютных кошельков и интеллектуальной собственности, связанной с торговлей криптовалютой и блокчейн-платформами.
Эти атаки начинаются с социальной инженерии. Группировка создает поддельные профили рекрутеров в социальных сетях и сетевых платформах, таких как LinkedIn, а затем связывается с финансовыми специалистами, предлагая фиктивные вакансии, прежде чем назначить техническое собеседование — это и есть механизм доставки вредоносного ПО.
И это следует за серией другихвторжений с использованием социальной инженерии, включая одно, в котором злоумышленники, связанные с Северной Кореей, с помощью социальной инженерии воздействовали на мейнтейнера Axios, скомпрометировали его учетную запись и опубликовали вредоносные версии библиотеки с открытым исходным кодом JavaScript, содержащей троян удаленного доступа.
“Социальная инженерия позволяет злоумышленникам обходить защищенные периметры, убеждая пользователей действовать от их имени, превращая человека в уязвимость. Это недорого, от этого трудно защититься, и это хорошо масштабируется”, — заявила Шеррод ДеГриппо, генеральный менеджер Microsoft по глобальному анализу угроз, в беседе с The Register.
“Пользователи приучены принимать взаимодействия по удаленной поддержке, такие как загрузка инструментов, следование инструкциям, нажатие на запросы”, — добавила она. “Злоумышленники используют эту привычность, чтобы вредоносные действия казались рутинными, снижая скептицизм жертвы в критический момент компрометации”.
В своей последней кампании Sapphire Sleet отправляет жертвам поддельное приглашение на встречу поддержки Zoom, а затем инструктирует их загрузить файл с именем Zoom SDK Update.scpt. Это скомпилированный AppleScript, который по умолчанию открывается в macOS Script Editor и выглядит как легитимное обновление Zoom SDK, начиная с большого блока комментариев с инструкциями по обновлению, чтобы создать видимость реального обновления программного обеспечения.
Плохие команды Apple(Script)
Под маскирующим контентом скрипт вставляет тысячи пустых строк, чтобы сдвинуть вредоносную логику ниже области прокрутки окна Script Editor и уменьшить вероятность того, что жертва ее заметит. Сначала он запускает команду, которая вызывает легитимный бинарный файл softwareupdate в macOS — но с недопустимым параметром. Это по сути ничего не делает, кроме как запускает доверенный процесс с подписью Apple, чтобы обновление программного обеспечения выглядело легитимным.
Затем скрипт выполняет свой вредоносный полезный груз через curl для получения нового AppleScript, контролируемого злоумышленниками, который запускается непосредственно в контексте Script Editor и обеспечивает динамическую загрузку и выполнение дополнительных полезных нагрузок.
“Когда пользователь открывает файл Zoom SDK Update.scpt, macOS запускает файл в Script Editor, что позволяет Sapphire Sleet перейти от одного файла-приманки к многоступенчатой цепочке полезных нагрузок, загружаемых динамически”, — пояснили в Microsoft в отчете в четверг.
“Из этого одного процесса вся атака разворачивается через каскадную цепочку команд curl, каждая из которых загружает и выполняет все более сложные полезные нагрузки AppleScript. Каждый этап использует отдельную строку user-agent в качестве идентификатора отслеживания кампании”.
Каждый user agent, полученный через curl, загружает разное вредоносное ПО, которое выполняет свою функцию в цепочке атак: от оркестровки и установки бэкдоров на машины жертв, до разведки и регистрации скомпрометированной системы в инфраструктуре командно-контрольных пунктов (C2) Sapphire Sleet, обхода защиты TCC в macOS, и, наконец, сбора учетных данных и эксфильтрации конфиденциальных данных — кошельков, истории браузера и другой информации, цепочек ключей, заметок Apple и данных для входа в Telegram.
Каждый этап кампании также злоупотребляет нативными инструментами Apple или имитирует соглашения об именовании Apple для маскировки незаконной деятельности. Например: бинарный файл мониторинга хоста называется com.apple.cli, чтобы помочь скрыть исполняемый файл Mach-O размером 5 МБ с соглашением об именовании в стиле Apple.
Сборщик учетных данных, доставляемый через полезную нагрузку AppleScript, выполняемую через osascript, сбрасывает вредоносное приложение macOS с именем systemupdate.app, которое маскируется под утилиту обновления программного обеспечения и при запуске отображает нативный диалог пароля macOS, очень похожий на легитимный системный запрос. Диалоговое окно предлагает пользователю ввести свой пароль “для завершения обновления программного обеспечения”, и это позволяет Sapphire Sleet получить действительные учетные данные пользователя, эксфильтруя их с помощью Telegram Bot API.
Кроме того, один из бэкдоров, используемых в этой кампании — icloudz — назван так, чтобы имитировать легитимный артефакт, связанный с iCloud, а также использует API macOS NSCreateObjectFileImageFromMemory для загрузки дополнительных полезных нагрузок непосредственно в память.
Microsoft сообщила Apple об этой кампании, и производитель Mac с тех пор внедрил “защиту на уровне платформы для помощи в обнаружении и блокировании инфраструктуры и вредоносного ПО, связанного с этой кампанией”, как нам сообщили. Apple не ответила на запросы The Register.
Однако, по данным Microsoft, Apple развернула защиту Apple Safe Browsing в Safari для обнаружения и блокирования вредоносной инфраструктуры, связанной с этой кампанией, а также внедрила сигнатуры XProtect для обнаружения и блокирования семейств вредоносного ПО, связанных с Sapphire Sleet. Устройства macOS получают эти обновления сигнатур автоматически, поэтому пользователю ничего делать не нужно.
Одна из мер, которую организации могут предпринять для защиты своих пользователей и себя от попадания в эту и другие кампании социальной инженерии, — это информирование людей об угрозах, исходящих от LinkedIn и других сайтов социальных сетей, особенно о нежелательных сообщениях с просьбой загрузить программное обеспечение или установить инструменты для виртуальных встреч.
“Пользователи никогда не должны запускать скрипты или команды, которыми делятся через сообщения, звонки или чаты, без предварительного одобрения своих ИТ- или служб безопасности”, — предупреждает Microsoft. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
