Социальная инженерия в реальном времени: Северокорейские хакеры обманывают пользователей macOS

Расследование началось с получения нескольких предупреждений от системы мониторинга конечных точек на компьютере с macOS. Среди них были сигналы о создании скрытых файлов и потенциальном доступе к учетным данным. По отдельности такие события часто списывают на легитимную активность разработчиков или действия пользователей. Однако в данном случае система на основе искусственного интеллекта связала эти предупреждения с другими действиями: созданием и запуском файлов в кэш- и временных директориях системы, а также с подозрительным доступом к хранилищу паролей Keychain. Это сочетание позволило классифицировать инцидент как истинно положительный и начать расследование.

Аналитики обнаружили, что подозрительные файлы не были связаны с известными установщиками программ. Более того, цепочка выполнения использовала исключительно встроенные утилиты macOS: curl, chmod, codesign и nohup. Это указывало не на автоматическую установку вредоносного ПО, а на интерактивные действия злоумышленника, управляющего процессом вручную. Дальнейший анализ показал, что команды выполнялись непосредственно пользователем во время активной коммуникации с внешней стороной.

Расследование выявило детали атаки. Злоумышленник вышел на связь через Telegram, представившись потенциальным деловым партнером или клиентом. Диалог быстро перешел на платформу Microsoft Teams, для чего атакующий использовал домен-подделку, похожий на легитимный. Во время видеозвонка злоумышленник сослался на проблемы со звуком и под этим предлогом убедил жертву выполнить в терминале ряд команд. Эти команды в точности соответствовали цепочке выполнения, обнаруженной на первом этапе расследования.

Таким образом, атака была не автоматической, а основанной на живой социальной инженерии, где злоумышленник в реальном времени руководил действиями пользователя. Последовательность действий была четко структурирована. Сначала происходило установление контакта и построение доверия в Telegram. Затем общение переводилось в Microsoft Teams. Во время звонка под предлогом технических неполадок жертву побуждали выполнить команды в терминале. Это приводило к скачиванию вредоносного бинарного файла в системный кэш, изменению его прав, подписанию кодом для маскировки и выполнению в фоновом режиме.

На этапе работы внутри системы злоумышленники использовали тактику "живи за счет земли", максимально задействуя штатные инструменты macOS для маскировки. Полезная нагрузка скачивалась в путь, имитирующий системный файл. Сразу после загрузки файлу выставлялись права на выполнение, а затем он подписывался при помощи команды codesign, чтобы выглядеть легитимно. Для обеспечения устойчивости бинарный файл запускался через nohup, что позволяло ему работать в фоне даже после закрытия терминала. Также наблюдался запуск второго компонента, замаскированного под процесс синхронизации iCloud.

Ключевой целью атаки был доступ к учетным данным. Злоумышленники напрямую скопировали базу данных Keychain пользователя во временную директорию. Затем с помощью AppleScript происходило создание папок и копирование файлов, что указывало на подготовку данных к эксфильтрации на контролируемую злоумышленниками инфраструктуру.

Эксперты Daylight Security дали ряд рекомендаций по защите. Во-первых, необходимо обучать сотрудников, особенно из групп риска, распознавать подобные сценарии. Легитимные партнеры никогда не будут просить выполнять команды в терминале во время звонка. При возникновении технических проблем общение следует перенести и продолжить через проверенные корпоративные каналы. Во-вторых, командам SOC (Security Operations Center) следует настраивать поведенческие сигнатуры для обнаружения подозрительной активности. К ним относятся использование curl для записи в системные пути, самостоятельное подписание новых бинарных файлов, запуск nohup из временных каталогов, доступ к базам Keychain и использование osascript для подготовки данных. Совокупность таких сигналов должна служить триггером для немедленного расследования.

В-третьих, можно использовать данные об инфраструктуре злоумышленников для проактивного поиска угроз. В данном случае для эксфильтрации использовался хостинг Hostwinds, ранее уже связанный с активностью BlueNoroff. Такие диапазоны IP-адресов можно использовать для поиска схожих индикаторов компрометации в сети. В-четвертых, важно минимизировать последствия кража учетных данных. Для этого следует внедрять устойчивую к фишингу многофакторную аутентификацию, использовать аппаратные ключи безопасности и ограничивать выполнение неподписанного кода на рабочих станциях.

Данный инцидент наглядно показывает, что современные кибератаки все чаще полагаются не на уязвимости или сложное вредоносное ПО, а на манипуляцию пользователями и злоупотребление доверенными рабочими процессами. Слабые сигналы с конечных точек, будучи проанализированными в совокупности, могут указывать на серьезную компрометацию. Следовательно, команды безопасности, которые рассматривают группы поведенческих сигналов низкой точности как отправную точку для расследования, имеют больше шансов обнаружить и остановить подобные атаки до кражи данных.

IPv4

• 23.254.130.131
• 23.254.204.184

Domains

• bluyy.com
• microsmeet.xyz
• supportzm.com
• teams.microscall.com

SHA256

• 18ec3c93e076e16447aee6fa390a44d3cb03e7f46e8466535ee76ed2041a88e5
• 75a82b9a2e7cfa0002fbbd1dbcb0bfaf5f6333169fd53507f7119593b9c4482e
• b302be4f9c515eb68d3e8b1ad8388d45b788eca34e7d53726d05c310a8f66af7
• de664ae9a35ec7f156962df168d876c01c0262fb91486fc25c27859aa9bfe206
• e3ed631addd7242e8c1f6faa90087742ff5b442e734132d2fe2594d65659eafd
• ede7f3ece611ba6c1ac4a02cf6a618b4ebd7eec6d9426b2baab3b5e26246e275