macOS Hidden Risk kampanja
Sigurnosni istraživači kompanije SentinelLabs su otkrili zlonamjernu kampanju pod nazivom “Hidden Risk”, koja cilja macOS korisnike koji su uključeni u poslove u vezi sa kriptovalutama. Sumnja se da iza kampanje stoji BlueNoroff, sofisticirana napredna trajna prijetnja (eng. Advanced persistent threat – APT), za koju se vjeruje da je orkestrirana od strane zlonamjernih aktera povezanih sa Sjevernom Korejom, koja koristi višestepeni zlonamjerni softver i novi mehanizam postojanosti u ovoj kampanji.
HIDDEN RISK
Hidden Risk kampanja je aktivna najmanje od jula 2024. godine i koristi phishing napade putem elektronske pošte sa PDF mamcima koji sadrže lažne vesti o trendovima kriptovaluta za infekciju ciljeva. Funkcionisanje kampanje uključuje prikrivanje zlonamjerne aplikacije kao veze do naizgled legitimnog PDF dokumenta koji se odnosi na Bitcoin ili druge digitalne valute. U ovom slučaju, primijećeni su zlonamjerni akteri kako zloupotrebljavaju ime stvarne osobe u nepovezanoj industriji i navodno prosljeđuju poruku od poznate uticajne osobe (eng. influencer) na društvenim medijima u kripto sferi.
Funkcionisanje
Napad počinje sa phishing elektronskom poštom koja sadrži naizgled bezopasnu vezu, maskiranu u PDF dokument koji se odnosi na teme o kriptovalutama kao što su:
- Hidden Risk Behind New Surge of Bitcoin Price,
- Altcoin Season 2.0-The Hidden Gems to Watch,
- New Era for Stablecoins and DeFi, CeFi.
Elektronske poruke zloupotrebljavaju ime stvarne osobe u nepovezanoj industriji kao pošiljaoca i navodno prosljeđuju poruku od poznate uticajne osobe na društvenim medijima u kripto sferi. U “Hidden Risk Behind New Surge of Bitcoin Price” PDF slučaju, zlonamjerni akteri su kopirali naslov “Bitcoin ETF: Opportunities and risk” od strane akademika povezanog sa Univerzitetom Teksas i koji je na mreži skladištio Međunarodni arhiv za nauku i istraživanje (eng. Journal of Science and Research Archive – IJSRA). Za razliku od ranijih kampanja koje se pripisuju BlueNoroff grupi, ova kampanja koristi nesofisticiranu phishing elektronsku poštu koja primaoca ne angažuje kontekstualno relevantnim sadržajem, kao što je upućivanje na lične informacije ili informacije vezane za posao.
Kada kliknu na vezu u elektronskoj poruci, korisnici se upućuju na zlonamjernu aplikaciju prerušenu u PDF dokument, ali je zapravo Swift aplikacija pod nazivom “Hidden Risk Behind New Surge of Bitcoin Price.app”. Ova maska omogućava zlonamjernim akterima da zaobiđu početne bezbjednosne provjere zbog opozvanog Apple ID programera. Zlonamjerni softver uspostavlja uporište koristeći lažni PDF, a zatim preuzima i izvršava zlonamjernu x86-64 binarnu datoteku sa tvrdo kôdirane internet adrese, zaobilazeći podrazumijevana macOS HTTP bezbjednosna ograničenja preko modifikovane datoteke Info.plist. Ovaj binarni program je backdoor pod nazivom “growth” koji cilja na Intel Mac i Apple procesore koji koriste Rosetta softver. Backdoor „growth“ je nepotpisana C++ izvršna datoteka, dizajniran za izvršavanje daljinskih komandi. Koristi različite funkcije za zlonamjerne aktivnosti kao što su krađa podataka, manipulacija sistemom ili dalja infekcija ciljanog uređaja.
Mehanizam postojanosti zlonamjernog softvera koristi novi pristup koji zloupotrebljava Zsh konfiguracionu datoteku zshenv, koja se koristi za izvršavanje komandi kada korisnici otvore svoje sesije terminala ili komandnom okruženju. Ova tehnika omogućava zlonamjernom softveru da zadrži svoje prisustvo na zaraženim macOS sistemima i da izvrši dalje radnje bez potrebe za interakcijom korisnika. Korištenje Zsh konfiguracione datoteke zshenv za postojanost dodaje još jedan sloj tajnovitosti i otpornosti ovom sofisticiranom napadu.
Phishing elektronska pošta koja se koristi u ovoj kampanji je manje personalizovana u poređenju sa prethodnim taktikama BlueNoroff grupe, sa domenom pošiljaoca povezanim sa aktivnostima neželjene pošte unutar internet zajednica uključenih u indijsku berzu. Međutim, upotreba pojednostavljenog pristupa ne umanjuje potencijalnu štetu koju Hidden Risk može da izazove svojim ciljevima.
Istrage su otkrile da je ova kampanja dio tekućeg trenda zlonamjernih aktera povezanih sa Sjevernom Korejom koji ciljaju kompanije sa kriptovalutama sa naprednim zlonamjernim softverom i phishing taktikama. Korištenje o pozvanog Apple Developer ID, nesofisticiranih phishing elektronskih poruka i Zsh konfiguracione datoteke zshenv za postojanost ukazuju na to da se tehnike ovog zlonamjernog aktera razvijaju da zaobilaze mjere bezbjednosti i održavaju pristup ciljanim sistemima.
Uticaj
Uticaj ove prijetnje je značajan, jer cilja na korisnike macOS operativnog sistema, za koji se često smatra da je manje ranjivi zbog njihovog manjeg tržišnog udjela u poređenju sa Windows sistemima. Međutim, sve veća popularnost i usvajanje Apple uređaja u različitim industrijama učinili su macOS unosnom metom za zlonamjerne aktere. Kampanja Hidden Risk naglašava ovu rastuću zabrinutost u industriji kriptovaluta, gdje se korisnici sve više oslanjaju na macOS platforme za svoje operacije.
Zlonamjerni softver koji se koristi u ovoj kampanji može da preuzme i izvrši dalji zlonamjerni softver na zaraženim uređajima, što može dovesti do značajnih finansijskih gubitaka ili ugrožavnja podataka. Korištenje nesofisticiranih phishing poruka elektronske pošte koje ne angažuju primaoce sa kontekstualno relevantnim sadržajem olakšava zlonamjernim akterima da zaobiđu mjere bezbjednosti i zaraze veći broj meta.
BlueNoroff
Napredna trajna prijetnja BlueNoroff (poznata još kao TA444) se smatra podgrupom Lazarus grupe koju je koju sponzoriše severnokorejska država i povezana sa Generalnim biroom za izviđanje Sjeverne Koreje (RGB). Smatra se BlueNoroff grupa ima oko 1.700 članova, aktivna je od najmanje 2017. godine i fokusirana je na vršenje finansijskog sajber kriminala sa nedavnim pomakom na ciljanje kriptovaluta.
U prošlosti je ova grupa pokazala startup mentalitet, testirajući različite metode infekcije sa različitim stepenom uspeha. Način funkcionisanja grupe uključuje korišćenje društvenih medija kao dio svoje strategije. Njihove primarne pristupne tačke bile su lanac isporuke orijentisan na LNK i dokumenti sa udaljenim šablonima, ali su se 2022. godine proširili kako bi isprobali nove tipove datoteka za početni pristup.
BlueNoroff se izdvaja među državno sponzorisanim grupama zbog svog primarno finansijski motivisanog poslovanja. Lanci infekcije grupe često odražavaju širi pejzaž prijetnji od sajber kriminala. Od kada se fokusirala na kriptovalute, grupa je imala ključnu ulogu u krađi stotina miliona dolara vrijedne digitalne imovine.
BlueNoroff zlonamjerna grupa je prihvatila mantre sveta tehnoloških startap-a – brzu iteraciju, testiranje proizvoda i napredovanje neuspjehom. Njen fokus na kriptovalute čini je značajnim igračem u naporima Sjeverne Koreje da generiše priliv novca za svoj režim. Zbog svega navedenog, razumijevanje taktika i strategija BlueNoroff grupe je ključno za održavanje sajber bezbjednosti u digitalnom prostoru.
ZAKLJUČAK
Kampanja Hidden Risk je sofisticirana višestepena operacija zlonamjernog softvera usmjerena na na kriptovalute na macOS sistemima koja djeli sličnosti sa ranijim napadima koji se pripisuju BlueNoroff grupi i drugim zlonamjernim akterima iz Sjeverne Koreje. Ova grupa koristi phishing elektronske poruke prerušene u PDF dokumente koji se odnose na kriptovalute za isporuku zlonamjernog softvera i ugrožavanje poslovanja vezanih za kriptovalute.
Zlonamjerni akter koriste taktiku društvenog inženjeringa kako bi namamili žrtve da preuzmu zlonamjerne aplikacije, koje se često pogrešno pripisuju legitimnim pojedincima ili uticajnim osobama u industriji kriptovaluta. Pored toga, oni koriste prave istraživačke radove kako bi povećali kredibilitet i zaobišli mjere bezbjednosti.
Upotreba lažnih vesti o trendovima kriptovaluta kao mamca u phishing elektronskoj pošti naglašava važnost da korisnici uključeni u ovoj industriji ostanu oprezni, budu oprezni kada otvaraju neželjene priloge elektronske pošte ili kliknu na linkove iz nepoznatih izvora, i da se postaraju da njihovi sistemi budu pravilno zaštićeni.
ZAŠTITA
Kako bi korisnici i organizacije zaštitili svoje macOS uređaje od Hidden Risk kampanje, ključno je razumjeti način rada i primijetiti odgovarajuće mjere bezbjednosti:
- Redovno ažurirati macOS na najnoviju verziju, jer to obezbjeđuje ispravke za poznate ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je Hidden Risk,
- Instalirati renomirani antivirusni softver na macOS uređaje, održavati ga ažuriranim i pokretati redovna skeniranja da bi se otkrile potencijalne prijetnje,
- Potrebno je biti oprezan prilikom otvaranja priloga elektronske pošte, posebno ako su u PDF formatu ili izgledaju sumnjivo. Ako je prilog neočekivan, provjetriti njegovu autentičnost pre otvaranja,
- Koristiti jake, jedinstvene lozinke za sve naloge i autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA) omogućiti kad god je to moguće da bi se dodao još jedan dodatni nivo bezbjednosti,
- Izbjegavati klikanje na veze u elektronskim porukama ili porukama iz nepoznatih izvora, jer mogu odvesti do zlonamjernih internet lokacija koje mogu pokušati da inficiraju macOS sa Hidden Risk ili drugim zlonamjernim softverom,
- Omogućiti macOS Gatekeeper, koji pomaže u sprečavanju instaliranja neprovjerenih aplikacija na macOS Ako je moguće, ovjeriti aplikacije putem Apple Developer ID programa kako bi se osiguralo da im macOS vjeruje,
- Redovno praviti rezervne kopije važnih podataka na eksternom čvrstom disku ili servisu za skladištenje u oblaku da bi se smanjio potencijalni gubitak podataka u slučaju uspješnog napada,
- Primijeniti segmentaciju mreže kako bi se izolovali kritični sistemi i ograničilo širenje zlonamjernog softvera kao što je Hidden Risk unutar mreže,
- Potrebno je biti informisan o aktuelnim pratnjama u sajber bezbjednosti redovnim praćenjem vijesti i pohađanjem obuka ili radionica iz sajber bezbjednosti. Ohrabriti druge u organizaciji da učine isto,
- Razvijati i primjenjivati sveobuhvatnu bezbjednosnu politiku koja opisuje prihvatljivo korišćenje tehnoloških resursa, procedure reagovanja na incidente i odgovornosti zaposlenih za održavanje bezbjednosti sistema. Ovo će pomoći da svi razumiju svoju ulogu u zaštiti od prijetnji kao što je Hidden Risk.