Yeni MacOS Kötü Amaçlı Yazılım: NimDoor
Son dönemlerde birçok siber güvenlik uzmanı, Kuzey Kore destekli hackerlerin yeni bir macOS kötü amaçlı yazılımı ailesi olan NimDoor’u kullandığını ortaya koydu. Bu yazılım, özellikle web3 ve kriptopara organizasyonlarını hedef alıyor. Yapılan araştırmalar, bu saldırıların alışılmadık teknikler ve daha önce görülmemiş bir sinyal tabanlı kalıcılık mekanizması kullanılarak gerçekleştirildiğini gösteriyor.
Saldırı Zinciri ve Teknikler
Saldırı zincirinin başlangıcı, kurbanlarla Telegram üzerinden iletişime geçerek başlayıp, onları sahte bir Zoom SDK güncellemesini çalıştırmaya kışkırtan bir süreç. Bu güncelleme, Calendly ve e-posta aracılığıyla kurbanlara ulaştırılıyor. Huntress yönetim platformunun, bu saldırının BlueNoroff ile ilintili olduğunu iddia etmesi, dikkat çekici bir ayrıntı.
Gelişmiş MacOS Kötü Amaçlı Yazılımı
Güvenlik şirketi SentinelOne’ın raporuna göre, NimDoor’un arkasındaki tehdit aktörü, C++ ve Nim ile derlenmiş ikili dosyalar kullanarak bu saldırıyı gerçekleştiriyor. Bu yöntem, macOS için daha alışılmadık bir seçim olarak değerlendiriliyor. Nim ile derlenmiş ikili dosyalardan biri olan ‘installer’, başlangıçta kurulum ve ön hazırlık işlemlerini üstleniyor ve kurbanın sistemine diğer iki ikili dosya olan ‘GoogIe LLC’ ve ‘CoreKitAgent’’ı bırakıyor.
Kurulum Aşaması
GoogIe LLC, ortam verilerini toplamak ve geçici bir yolda hex kodlu yapılandırma dosyası oluşturmakla sorumlu. Ayrıca, kalıcılık sağlamak için bir macOS LaunchAgent (com.google.update.plist) oluşturuyor. Bu süreç, GoogIe LLC’nin her oturum açılışında yeniden başlatılmasını sağlıyor ve sonraki aşamalar için kimlik doğrulama anahtarlarını saklıyor.
NimDoor çerçevesinin en gelişmiş bileşeni olan CoreKitAgent, olay odaklı bir ikili olarak görev yapıyor. macOS’un kqueue mekanizmasını kullanarak asenkron bir şekilde yürütmeyi yönetiyor. 10 durumlu bir durum makinesi uygulayarak, çalışma zamanındaki koşullara bağlı esnek kontrol akışını sağlıyor.
Özel Sinyal Tabanlı Kalıcılık Mekanizması
CoreKitAgent’in en belirgin özelliği, SIGINT ve SIGTERM için özel işleyici kurulumudur. Bu sinyaller genellikle süreçleri sonlandırmak için kullanılır, ancak bu sinyaller yakalandığında, CoreKitAgent bir yeniden kurulum rutini başlatarak GoogIe LLC’yi yeniden dağıtıyor. Bu sayede kalıcılık zinciri korunuyor.
SentinelLABS açıklamasında, "Bu davranış, kötü amaçlı yazılımın kullanıcı tarafından başlatılan sonlandırma girişimlerine karşı dirençli olmasını sağlıyor," diyor. CoreKitAgent, bir hex kodlu AppleScript’i çözüp çalıştırarak her 30 saniyede bir saldırgan altyapısına ileti gönderiyor, sistem verilerini sızdırıyor ve uzaktan komutlar yürütüyor.
İkincil Enjeksiyon Zinciri
NimDoor’un çalıştırılması ile paralel olarak, ‘zoom_sdk_support.scpt’ ikinci bir enjeksiyon zincirini tetikleyerek ‘trojan1_arm64’’i başlatıyor. Bu, WSS tabanlı komuta kontrol (C2) iletişimini başlatıp, veri hırsızlığını kolaylaştırmak için iki betik (upl ve tlgrm) indiriyor. ‘zoom_sdk_support.scpt’ yükleyicisi, araştırmacıların dikkatini çeken 10,000’den fazla boş satır içeriyor. Bu, obfuscation (kötü amaçlı yazılımların belirleyicilerini gizleme) amacı taşıyor.
Upl, web tarayıcılarından veri çıkarıyor ve Keychain, .bash_history ve .zsh_history gibi dosyaları topluyor. Bu verileri, curl kullanarak dataupload[.]store adresine sızdırıyor. Tlgrm ise Telegram veritabanını hedef alıyor ve .tempkeyEncrypted dosyasını kullanarak, platformda hedefin değiştirdiği mesajları şifre çözme işlemi yapıyor.
Sonuç ve Değerlendirme
Kuzey Koreli tehdit aktörleri ile bağlantılı olan NimDoor framework’u ve SentinelLABS tarafından analiz edilen diğer geri kapılar, macOS üzerinde bulunan en karmaşık kötü amaçlı yazılım ailelerinden biri olarak öne çıkıyor. Bu kötü amaçlı yazılımın modüler yapısı ve sinyal tabanlı kalıcılık gibi yenilikçi tekniklerin kullanımı, Kuzey Koreli operatörlerin araçlarını geliştirmeye devam ettiğini gösteriyor. SentinelLABS’in raporu, Kuzey Koreli tehdit aktörleri tarafından kripto para varlıklarının ve hassas bilgilerin çalınması amacıyla kullanılan alan adları, dosya yolları, betikler ve ikili dosyalar için tehlike göstergelerini içeriyor. Bu durum, siber güvenlik dünyasında dikkatle izlenmesi gereken bir gelişme olduğunu ortaya koyuyor.
