在一场针对 Web3 与加密货币机构的攻击行动中,朝鲜国家背景黑客组织正使用一款新型 macOS 恶意软件家族“NimDoor”进行渗透入侵。
研究人员在对其载荷分析过程中发现,该攻击活动采用了异常手法,并引入了一种此前未见的“基于信号的持久化机制”,显著增强了木马的抗清除能力。
利用 Telegram 诱导执行伪装更新
攻击链起始于攻击者通过 Telegram 联系目标,诱导其点击更新链接。该链接伪装为 Zoom SDK 更新,通过 Calendly 日程平台和钓鱼邮件分发,诱导用户运行恶意安装包。这一策略与近期被 Huntress 安全平台归因于朝鲜 BlueNoroff 组织的战术高度相似。
高级 macOS 恶意代码部署细节
据 SentinelOne 安全公司今日发布的报告,攻击者使用 C++ 和 Nim 编译语言构建二进制文件(统称为 NimDoor),这一组合在 macOS 攻击中极为罕见。
其中,“installer”二进制文件负责初始化与配置部署路径,并将另外两个恶意组件投放至系统中,分别命名为:
-
GoogIe LLC(注意为字母“i”伪装为“l”) -
CoreKitAgent
GoogIe LLC 组件主要负责收集环境信息,并生成十六进制编码的配置文件写入临时目录。它还在系统中创建一个名为 com.google.update.plist 的 macOS LaunchAgent 以实现登录自启动持久化,并用于存储后续阶段所需的身份验证密钥。
核心木马具备“复活”能力
NimDoor 框架中的核心负载是 CoreKitAgent,这是一个基于事件驱动的恶意二进制文件,利用 macOS 的 kqueue 机制 实现异步控制执行流程。
它内部实现了一个拥有 10 种状态切换机制的状态机,通过硬编码的状态表根据运行时条件灵活切换攻击逻辑。
其最具标志性的特点是对 SIGINT 和 SIGTERM 系统信号的处理逻辑——这两类信号通常用于终止进程,但 CoreKitAgent 会在接收到这些信号后自动触发“重部署流程”,实现自我恢复与持久化重建。
“CoreKitAgent 一旦捕获到终止信号,就会重新写入 LaunchAgent、恢复 GoogIe LLC 加载器、以及自身木马程序副本,并通过
addExecutionPermissions_user95startup95mainZutils_u32函数赋予可执行权限,”SentinelLABS 解释称。
这种机制确保用户主动结束进程或简单查杀行为无法彻底清除恶意代码,使得该木马具备极高的生存能力。
数据窃取与远程控制
CoreKitAgent 会解码并执行一个十六进制编码的 AppleScript 脚本,该脚本每隔 30 秒向攻击者控制服务器发送“心跳”,并使用 osascript 命令执行远程指令,实现轻量级后门控制。
与此同时,另一个名为 zoom_sdk_support.scpt 的组件会触发第二条攻击链,执行 trojan1_arm64 木马并发起 WSS(加密 WebSocket)通信,随后下载两个脚本:
-
upl:从浏览器中提取数据,抓取 Keychain 凭据、.bash_history和.zsh_history,并通过curl上传至dataupload[.]store。 -
tlgrm:专注于窃取 Telegram 数据库与.tempkeyEncrypted文件,可能用于解密用户通信内容。
zoom_sdk_support.scpt 本身还通过插入一万多行空行进行混淆处理,提高安全产品检测难度。
木马特征与攻击者能力评估
综合分析显示,NimDoor 框架及其相关后门组件,是目前归因于朝鲜背景攻击者的 最复杂的 macOS 恶意软件家族之一。
其模块化结构提供高度灵活性,而信号机制与 AppleScript 搭配的隐匿执行方式,体现出朝鲜黑客组织正在不断进化工具链,以实现更强的跨平台攻击能力。
SentinelLABS 报告中还公布了本次攻击所涉及的 域名、文件路径、脚本和二进制文件的 IoC(攻击指标),为加密货币与 Web3 行业提供预警和检测线索。
发表评论
您还未登录,请先登录。
登录