Nordkoreanische Hacker nutzen Nim-Malware zur Attacke auf Web3

LONDON (IT BOLTWISE) – Nordkoreanische Hackergruppen haben erneut ihre Fähigkeiten unter Beweis gestellt, indem sie gezielt Unternehmen im Bereich Web3 und Kryptowährungen mit einer neuartigen Malware attackieren. Diese Malware, die in der Programmiersprache Nim geschrieben ist, zeigt die kontinuierliche Anpassung und Weiterentwicklung der Taktiken dieser Bedrohungsakteure.

Die Bedrohungsakteure, die mit Nordkorea in Verbindung stehen, haben eine neue Angriffswelle gestartet, die sich auf Unternehmen im Bereich Web3 und Kryptowährungen konzentriert. Diese Angriffe nutzen eine Malware, die in der Programmiersprache Nim geschrieben ist, was die ständige Weiterentwicklung ihrer Taktiken unterstreicht. Besonders bemerkenswert ist die Verwendung von Prozessinjektionstechniken und verschlüsselten Remote-Kommunikationen über das TLS-verschlüsselte WebSocket-Protokoll (wss), wie von den Forschern von SentinelOne berichtet wird.

Ein neuartiger Persistenzmechanismus nutzt SIGINT/SIGTERM-Signalhandler, um die Persistenz der Malware zu gewährleisten, selbst wenn diese beendet oder das System neu gestartet wird. Diese Malware-Komponenten werden unter dem Namen NimDoor verfolgt. Einige Aspekte dieser Kampagne wurden bereits von anderen Sicherheitsfirmen dokumentiert, jedoch mit Unterschieden in den eingesetzten Payloads.

Die Angriffsstrategie umfasst Social-Engineering-Taktiken, bei denen Zielpersonen über Messaging-Plattformen wie Telegram kontaktiert werden, um ein Zoom-Meeting zu vereinbaren. Die Zielperson erhält dann eine E-Mail mit einem vermeintlichen Zoom-Link und Anweisungen, ein Zoom-SDK-Update-Skript auszuführen, um sicherzustellen, dass sie die neueste Version der Videokonferenzsoftware verwenden.

Dieser Schritt führt zur Ausführung eines AppleScripts, das als Transportmittel für ein zweites Skript von einem Remote-Server dient, während der Benutzer scheinbar zu einem legitimen Zoom-Redirect-Link weitergeleitet wird. Das neu heruntergeladene Skript entpackt ZIP-Archive, die Binärdateien enthalten, die für die Einrichtung der Persistenz und das Starten von Informationsdiebstahl-Bash-Skripten verantwortlich sind.

Im Zentrum der Infektionssequenz steht ein C++-Loader namens InjectWithDyldArm64, der zwei eingebettete Binärdateien namens Target und trojan1_arm64 entschlüsselt. InjectWithDyldArm64 startet Target in einem angehaltenen Zustand und injiziert den Code der trojan1_arm64-Binärdatei, woraufhin die Ausführung des angehaltenen Prozesses fortgesetzt wird.

Die Malware stellt dann die Kommunikation mit einem Remote-Server her und ruft Befehle ab, die es ihr ermöglichen, Systeminformationen zu sammeln, beliebige Befehle auszuführen und das aktuelle Arbeitsverzeichnis zu ändern oder festzulegen. Die Ergebnisse der Ausführung werden an den Server zurückgesendet.

Trojan1_arm64 kann seinerseits zwei weitere Payloads herunterladen, die mit Funktionen ausgestattet sind, um Anmeldeinformationen von Webbrowsern wie Arc, Brave, Google Chrome, Microsoft Edge und Mozilla Firefox zu sammeln sowie Daten aus der Telegram-Anwendung zu extrahieren.

Zusätzlich wird eine Sammlung von Nim-basierten ausführbaren Dateien als Sprungbrett für CoreKitAgent eingesetzt, der überwacht, ob Benutzer versuchen, den Malware-Prozess zu beenden, und die Persistenz sicherstellt. Diese Verhaltensweise stellt sicher, dass jede benutzerinitiierte Beendigung der Malware zur Bereitstellung der Kernkomponenten führt, wodurch der Code gegen grundlegende Abwehrmaßnahmen resistent wird.

Die Malware startet auch ein AppleScript, das alle 30 Sekunden an einen von zwei fest codierten Command-and-Control (C2)-Servern sendet, während es auch eine Momentaufnahme der Liste der laufenden Prozesse exfiltriert und zusätzliche vom Server gesendete Skripte ausführt.

Die Erkenntnisse zeigen, wie nordkoreanische Bedrohungsakteure zunehmend macOS-Systeme ins Visier nehmen und AppleScript als Post-Exploitation-Backdoor nutzen, um ihre Datensammelziele zu erreichen. Diese Angriffe sind Teil einer größeren Kampagne, die als BabyShark bekannt ist und von der nordkoreanischen Hackergruppe Kimsuky durchgeführt wird.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!