Північнокорейські хакерські групи розробляють нові методи для цільових атак на компанії Web3, включаючи ті, що спрямовані на інфікування систем Apple. Крім того, використання соціальної інженерії стає все більш поширеним у цих атаках, що підкреслює рівень підготовки, залучений у ці операції.
Північнокорейські хакерські групи використовують нові методи для атаки на компанії Web3
АВТОР
ПОДІЛИТИСЯ
Нові методи північнокорейських хакерів: Nim Malware та Clickfix
Хакерські групи з Північної Кореї все частіше застосовують нові методи для націлювання на компанії Web3 і використання їхніх вразливостей для отримання доступу до їхніх систем. Один з них, ідентифікований як Nimdoor, зосереджений на інфікуванні систем Apple через їхню високу популярність.
За даними The Hacker News, атака використовує соціальну інженерію, щоб наблизитися до цілей і організувати зустрічі за допомогою програмного забезпечення для відеоконференцій на кшталт Zoom. Запрошення на дзвінок Zoom містить посилання на програму, яка, на думку користувача, оновлює програмне забезпечення Zoom до останньої версії.
Однак насправді програмне забезпечення доставляє скрипт, що дозволяє атакуючим збирати інформацію про систему та виконувати довільний код, відкриваючи інфіковану систему для віддаленого керування.
Розслідувачі підкреслили, що це показує, як північнокорейські хакери використовують можливості систем Apple для завершення своїх атак.
Дослідники Sentinelone Філ Стокс і Раффаеле Сабато зазначили:
Завдяки доволі унікальній здатності Nim виконувати функції під час компіляції, атакуючі можуть інтегрувати складну поведінку у бінарний файл з менш очевидним потоком керування, в результаті чого компільовані бінарні файли містять змішані коди розробника та коди виконання Nim навіть на рівні функцій.
Крім того, північнокорейські групи також використовують інші методи, зосереджені на електронній пошті, для своїх цілей, у кампанії, яку дослідники назвали Babyshark. Метод включає доставку підроблених документів, які соціально спроектовані так, щоб користувач відчув необхідність їх відкрити.
Повідомляється, що документи вдаються за запити на інтерв’ю від справжніх газет, запити на дані від офіцерів розвідки про візити в інші країни, а також дипломатичні папери.
Ситуація стає ще небезпечнішою, коли оперативники з цих груп інфільтруються в організації, які зазнали атаки, як це вже було зафіксовано в минулому. За словами експерта з безпеки блокчейну Zackxbt, з початку 2025 року цим оперативникам, які видають себе за розробників у цих компаніях, було виплачено понад 16 мільйонів доларів.
Детальніше: Криптовалютні біржі США – “сліпа зона” в схемі відмивання грошей Північної Кореї
