Специалисты по кибербезопасности компании SentinelOne обнаружили новый опасный малварь для операционной системы MacOS под названием NimDoor. Этот вредоносный инструмент используется северокорейскими хакерскими группировками, предположительно связанными с подразделением Stardust Chollima, и представляет угрозу для компаний, работающих в сфере Web3 и криптовалют. NimDoor использует сложные техники социальной инженерии в сочетании с продвинутыми методами заражения, что делает его особенно опасным для высокопоставленных целей.
Описание
По данным исследователей, атаки с использованием NimDoor фиксируются с апреля 2025 года. Особенностью этого малваря является использование языка программирования Nim, что является редкостью для macOS-угроз. Такой подход позволяет злоумышленникам эффективно скрывать вредоносный код благодаря сложностям в его статическом анализе. Компиляция с использованием Nim усложняет обнаружение, так как код перемешивает разработку и исполнение на этапе компиляции, что затрудняет разбор для исследователей безопасности.
Атака начинается с социальной инженерии: злоумышленники выдавали себя за доверенных контактов в Telegram, предлагая жертвам присоединиться к встрече в Zoom. После согласия жертва получала электронное письмо с вредоносным AppleScript, замаскированным под обновление SDK Zoom. Интересно, что в скрипте была допущена опечатка - «Zook» вместо «Zoom», что могло служить индикатором угрозы. После выполнения скрипта на устройство жертвы загружались два бинарных файла Mach-O: один на C++, предназначенный для расшифровки вредоносных нагрузок, и второй, скомпилированный на Nim, который выполнял роль «установщика» для основной вредоносной программы.
После заражения малварь создавал поддельные процессы с именами, похожими на легитимные, например, «GoogIe LLC» (с намеренной заменой буквы «l» на «I», чтобы избежать подозрений) и «CoreKitAgent». Эти процессы обеспечивали устойчивость вредоносного ПО в системе через механизм LaunchAgent. Одной из ключевых особенностей NimDoor является использование обработчиков сигналов SIGINT и SIGTERM, что позволяет малварю автоматически переустанавливаться после завершения или перезагрузки системы - ранее подобные техники на macOS не встречались.
NimDoor также применяет редкую для macOS технику инъекции процессов и использует TLS-шифрованные WebSocket-соединения для скрытого взаимодействия с командным сервером. Каждые 30 секунд малварь отправляет закодированный в шестнадцатеричном формате AppleScript-запрос на один из двух жестко заданных серверов управления, передавая списки запущенных процессов и выполняя удаленные команды.
Помимо этого, NimDoor включает bash-скрипты, предназначенные для кражи конфиденциальных данных, включая пароли из Keychain, информацию из браузеров (Chrome, Firefox, Brave, Arc, Edge) и базы данных Telegram. Основной фокус злоумышленников сосредоточен на доступе к криптовалютным кошелькам и другой ценной информации, что соответствует финансовым мотивам северокорейских хакеров.
Stardust Chollima (также известная как TA444, APT38 и BlueNoroff) - это хакерская группировка, связанная с КНДР, активно действующая с 2014 года. Она является частью крупной структуры Lazarus Group и, как считается, работает под управлением Разведывательного управления Генерального штаба КНДР. Основной целью группировки является финансирование режима через кражу криптовалют и обход международных санкций.
Stardust Chollima известна применением сложных методов социальной инженерии, включая фишинговые письма с вредоносными вложениями, а также использование deepfake-технологий для имитации звонков и видеовстреч от имени руководителей компаний. В случае с NimDoor атака сопровождалась реальными встречами в Zoom, что отвлекало жертв и позволяло злоумышленникам внедрять вредоносное ПО.
Основными целями Stardust Chollima остаются криптовалютные компании, финансовые учреждения и технологические организации в США, Европе и Азии, особенно в Южной Корее и Японии. Появление NimDoor сигнализирует о растущей опасности macOS-угроз со стороны северокорейских хакеров и требует повышенной бдительности со стороны специалистов по безопасности и руководителей компаний.
Индикаторы компрометации
SHA256
- 0d1e3a9e6f3211b7e3072d736e9a2e6be363fc7c100b90bf7e1e9bee121e30df
- 41660a23e5db77597994e17f9f773d02976f767276faf3b5bac0510807a9a36f
- 469fd8a280e89a6edd0d704d0be4c7e0e0d8d753e314e9ce205d7006b573865f
- 64c9347d794243be26e811b5eb90fb11c8e74e8aff504bf98481e5ccf9d72fe9
- 69a012ff46565169534ccefb175f87b3cc331b4f94cc5d223c29a036ed771f4e
- 74cbec210ba601caeb063d44e510fc012075b65a0482d3fa2d2d08837649356a
- 7ffc83877389ebb86d201749d73b5e3706490070015522805696c9b94fa95ccb
- 9c48e2a01d852e08f923a4638ef391b6f89f263558cf2164bf1630c8320798c1
- bcef50a375c8b4edbe7c80e220c1bb52f572ce379768fec3527d31c1d51138fc
- e6a7c54c01227adcb2a180e62f0082de1c13d61ae913cda379dd0f44a0d0567b
- ea8a58bbb6d5614855a470b2d3630197e34fc372760b2b7fa27af8f3456525a6
