北朝鲜黑客的新网络攻击活动
北朝鲜黑客发起了一项新的网络攻击活动,针对加密货币公司,部署了一种名为NimDoor的复杂恶意软件。这种恶意软件旨在渗透苹果设备,绕过内置的内存保护,以提取加密钱包和浏览器中的敏感数据。
攻击策略与实施
攻击开始于社交工程策略,黑客在Telegram等平台上伪装成可信联系人,与受害者进行对话。随后,他们邀请目标参加一个伪装成Google Meet会议的假Zoom会议,并发送一个模仿合法Zoom更新的文件,该文件作为恶意载荷的传递方式。
一旦执行,恶意软件将在受害者的设备上安装NimDoor,随后开始收集敏感信息,特别是针对加密货币钱包和存储的浏览器凭据。
NimDoor的技术特点
网络安全公司SentinelLabs的研究人员发现了这一新策略,并指出Nim编程语言的使用使得该恶意软件与众不同。
Nim编译的二进制文件在针对macOS时很少见,这使得恶意软件不易被传统安全工具识别,可能更难以分析和检测。研究人员观察到,北朝鲜的威胁行为者之前曾尝试使用Go和Rust等编程语言,但转向Nim反映出其战略优势,因为Nim具有跨平台能力。
这使得相同的代码库可以在Windows、Linux和macOS上无须修改地运行,从而提高了攻击的效率和覆盖范围。
恶意载荷的功能
恶意载荷包括一个窃取凭据的组件,旨在悄悄收集浏览器和系统级数据,将信息打包并传输给攻击者。此外,研究人员在恶意软件中发现了一个脚本,针对Telegram提取其加密的本地数据库及相应的解密密钥。
值得注意的是,该恶意软件采用了延迟激活机制,在执行操作前等待十分钟,显然是为了躲避安全扫描器。
