В нарастающей волне кибератак, направленных на Web3 и криптовалютные платформы, эксперты SentinelLABS выявили новую сложную кампанию, связанную с северокорейскими угрозными акторами. Анализ инцидента, зафиксированного в апреле 2025 года, показал использование ранее не встречавшихся в macOS-вредоносах тактик, включая компиляцию кода на языке Nim, инъекцию процессов и уникальный механизм персистентности через обработку сигналов SIGINT/SIGTERM. Эта многоступенчатая операция, получившая название NimDoor, демонстрирует эволюцию методов DPRK-группировок, адаптирующих инструментарий под специфику экосистемы Apple.
Описание
Атака начинается с фишинга через Telegram: злоумышленники, выдавая себя за доверенных контактов, предлагают жертвам присоединиться к Zoom-совещанию. Целевым пользователям рассылается письмо с инструкцией по установке "обновления Zoom SDK", скрывающего вредоносный AppleScript zoom_sdk_support.scpt. Файл содержит 10 000 строк пробелов для обфускации, а его исполнение запускает цепочку загрузки последующих скриптов с доменов, мимикрирующих под легитимные сервисы Zoom (например, support.us05web-zoom[.]forum). Этот этап служит плацдармом для развертывания двух параллельных процессов.
Первый компонент - бинарный файл a (InjectWithDyldArm64), написанный на C++. Он расшифровывает внедренные в себя исполняемые модули, включая троян trojan1_arm64, который внедряется в легитимный процесс Target через приостановку posix_spawn и последующий SIGCONT. Для коммуникации используется протокол wss (WebSocket Secure) с сервером firstfromsep[.]online, что нетипично для macOS-угроз. Обмен данными включает многоуровневое шифрование RC4 и JSON-структуры, позволяющие выполнять команды: от сбора системной информации до произвольного выполнения кода. Финал цепочки - загрузка bash-скриптов upl и tlgrm, которые выкачивают данные браузеров (Chrome, Firefox, Brave), Keychain, историю командных оболочек и базы Telegram с последующей отправкой на dataupload[.]store.
Второй вектор связан с Nim-скомпилированным бинарником installer, создающим инфраструктуру для устойчивости. Он развертывает поддельный компонент "GoogIe LLC" (с заменой l на I) и CoreKitAgent в системных директориях /Library/CoreKit/ и ~/Library/Application Support/Google LLC/. Ключевая инновация - обработка сигналов SIGINT/SIGTERM: при попытке убить процесс или перезагрузить систему, CoreKitAgent автоматически переустанавливает персистентность через LaunchAgent com.google.update.plist. Этот агент активирует цепочку: GoogIe LLC → CoreKitAgent, обеспечивая выживание вредоноса. CoreKitAgent реализует сложную state-машину с kqueue, включая 10-минутную асинхронную задержку для противодействия песочницам.
Особую роль играют AppleScript-бекдоры. CoreKitAgent декодирует шестнадцатеричные строки в скрипт .ses, который каждые 30 секунд отправляет на C2 (writeup[.]live или safeup[.]store) список запущенных процессов и выполняет любые полученные команды через run script. Для обхода детекции авторы разбивают строки на символьные массивы, а в скриптах upl/tlgrm используют идентичные функции эксфильтрации с единым сервером.
Эксперты подчеркивают комбинацию "старых" и новых TTPs: социальную инженерию через Calendly/Zoom, типичную для DPRK, но обогащенную Nim-компиляцией, обработкой сигналов и wss-коммуникацией. Рекомендации для защиты включают мониторинг LaunchAgents, анализ необычных AppleScript-активностей, проверку прав com.apple.security.cs.debugger, и детектирование файлов в /private/tmp/.config. Обнаруженные IoCs (домены, хеши) уже интегрированы в системы киберразведки. Угроза NimDoor подчеркивает растущую изощренность атак на macOS в критически важных для экономики блокчейн-сегментах, где конфиденциальность данных напрямую конвертируется в финансовые риски.
Индикаторы компрометации
Domains
- dataupload.store
- firstfromsep.online
- safeup.store
- support.us05web-zoom.pro
- writeup.live
SHA1
- 023a15ac687e2d2e187d03e9976a89ef5f6c1617
- 027d4020f2dd1eb473636bc112a84f0a90b6651c
- 0602a5b8f089f957eeda51f81ac0f9ad4e336b87
- 06566eabf54caafe36ebe94430d392b9cf3426ba
- 08af4c21cd0a165695c756b6fda37016197b01e7
- 16a6b0023ba3fde15bd0bba1b17a18bfa00a8f59
- 1a5392102d57e9ea4dd33d3b7181d66b4d08d01d
- 1e76f497051829fa804e72b9d14f44da5a531df8
- 2c0177b302c4643c49dd7016530a4749298d964c
- 2d746dda85805c79b5f6ea376f97d9b2f547da5d
- 2ed2edec8ccc44292410042c730c190027b87930
- 3168e996cb20bd7b4208d0864e962a4b70c5a0e7
- 4743d5202dbe565721d75f7fb1eca43266a652d4
- 5b16e9d6e92be2124ba496bf82d38fb35681c7ad
- 79f37e0b728de2c5a4bfe8fcf292941d54e121b8
- 7c04225a62b953e1268653f637b569a3b2eb06f8
- 945fcd3e08854a081c04c06eeb95ad6e0d9cdc19
- a25c06e8545666d6d2a88c8da300cf3383149d5a
- bb72ca0e19a95c48a9ee4fd658958a0ae2af44b6
- c9540dee9bdb28894332c5a74f696b4f94e4680c
- e227e2e4a6ffb7280dfe7618be20514823d3e4f5
- ee3795f6418fc0cacbe884a8eb803498c2b5776f
