Компания SentinelLabs обнаружила кампанию под названием «Hidden Risk», организованную предполагаемым злоумышленником из КНДР BlueNoroff (Sapphire Sleet) и направленную на криптовалютные предприятия с помощью нового многоступенчатого вредоносного ПО. В кампании используются фишинговые письма с фальшивыми новостями о криптовалютных трендах для доставки вредоносного приложения, замаскированного под PDF-файл.
Sapphire Sleet APT
В письмах используются имена реальных людей из несвязанных отраслей и имитируются пересылки сообщений от известных криптовалютных авторитетов в социальных сетях. Первоначальное заражение происходит через ссылку на приложение, которое представлено в виде PDF-документа на криптовалютные темы, такие как «Hidden Risk Behind New Surge of Bitcoin Price», «Altcoin Season 2.0-The Hidden Gems to Watch» и «New Era for Stablecoins and DeFi, CeFi.». На первом этапе атаки приложение для Mac загружает ложный PDF-файл и вредоносный двоичный файл под названием «growth», который действует как бэкдор для выполнения удаленных команд. Этот бэкдор использует функцию SaveAndExec для создания скрытого файла с правами чтения, записи и выполнения в каталоге /Users/Shared и выполняет встроенные команды. Он функционирует только на компьютерах Mac архитектуры Intel или кремниевых устройствах Apple с установленным фреймворком эмуляции Rosetta. Вредоносная программа устанавливает постоянство, собирает информацию об окружающей среде, генерирует UUID и взаимодействует с командно-контрольным (C2) сервером.
Наблюдается новый механизм сохранения, который использует конфигурационный файл Zshenv, позволяя вредоносной программе сохраняться, не вызывая уведомлений пользователя о фоновых элементах входа в систему в MacOS 13 Ventura и более поздних версиях. Хотя этот метод известен, SentinelLabs сообщает, что впервые наблюдает его в дикой природе.
Indicators of Compromise
IPv4
- 144.172.74.141
- 144.172.74.23
- 216.107.136.10
- 23.254.253.75
- 45.61.128.122
- 45.61.135.105
Domains
- analysis.arkinvst.com
- appleaccess.pro
- arkinvst.com
- atajerefoods.com
- buy2x.com
- calendly.caladan.video
- cmt.ventures
- community.edwardcaputo.shop
- community.kevinaraujo.shop
- community.selincapital.com
- customer-app.xyz
- delphidigital.org
- dourolab.xyz
- drogueriasanjose.net
- edwardcaputo.shop
- email.sellinicapital.com
- evalaskatours.com
- happyz.one
- info.ankanimatoka.com
- info.customer-app.xyz
- kevinaraujo.shop
- maelstromfund.org
- maelstroms.fund
- mc.tvdhoenn.net
- meet.caladan.video
- meet.caladangroup.xyz
- meet.selinicapital.info
- meet.selinicapital.online
- meet.selinicapital.xyz
- meet.sellinicapital.com
- meeting.sellinicapital.com
- meeting.zoom-client.com
- online.selinicapital.info
- online.zoom-client.com
- panda95sg.asia
- pixelmonmmo.net
- presentations.life
- selincapital.com
- selinicapital.info
- selinicapital.network
- selinicapital.online
- sellinicapital.com
- sendmailed.com
- sendmailer.org
- shh5.baranftw.xyz
- tvdhoenn.net
- verify.selinicapital.info
- www.buy2x.com
- www.delphidigital.org
- www.frameworks.ventures
- www.happyz.one
- www.maelstromfund.org
- www.panda95sg.asia
- www.prismlab.xyz
- www.sellinicapital.com
- www.sendmailed.com
- www.yoannturp.xyz
SHA1
- 05c178891ca1e65af53bbcfdbec573da3f74d176
- 3f17c5a7d1e7fd138163d8039e614b8a967a56cb
- 7e07765bf8ee2d0b2233039623016d6dfb610a6d
- baf4da6b89b7d7cbf24c9deef5984ef9dfd52e6a
- e5d97afa5f1501b3d5ec1a471dc8a3b8e2a84fdb
