19/06/25
Происшествие было выявлено 11 июня 2025 года специалистами Huntress. Основная цель атаки, как и в предыдущих кампаниях группы, заключалась в краже цифровых денег. Обнаруженные элементы атаки подтвердили выводы, ранее озвученные командами SentinelLabs, Microsoft, Jamf и Лабораторией Касперского , наблюдавшими за похожими операциями.
Жертвой стал сотрудник технологической компании, которому злоумышленники написали в Telegram, представившись внешними специалистами, пишет Securitylab. Они пригласили его на встречу, отправив ссылку через сервис Calendly — по виду это было приглашение в Google Meet, но в реальности открывалась фальшивая страница Zoom, размещённая на домене, контролируемом атакующими. Этот приём напоминает методы другой северокорейской группы, известной как Elusive Comet.
На виртуальной встрече присутствовали изображения знакомых руководителей компании, что укрепило доверие жертвы. Под предлогом неисправности микрофона, которая возникла у сотрудника во время видеозвонка, «руководители» предложили установить специальное расширение Zoom, якобы устраняющее технические неполадки. Ссылка для загрузки была отправлена через Telegram и вела к скрипту AppleScript с названием zoom_sdk_support.scpt.
При запуске файл открывал настоящую страницу SDK Zoom, но перед этим обрабатывал 10 500 пустых строк, после чего активировал вредоносную команду, загружающую вторичный компонент с поддельного домена (support.us05webzoom.biz). На момент анализа основное вредоносное содержимое уже было удалено с сервера атакующих, однако его образец всё же был найден на VirusTotal, что позволило исследователям изучить функционал.
Скрипт отключал историю команд bash, проверял наличие Rosetta 2 — компонента, позволяющего запускать x86_64-код на новых чипах Apple, и при необходимости устанавливал его без уведомлений. Далее создавался скрытый файл .pwd и происходила загрузка вредоносного компонента в папку /tmp под видом icloud_helper.
В процессе расследования Huntress обнаружила восемь различных вредоносных бинарников на заражённом Mac. Основные элементы атаки включали:
- Telegram 2 — имплант на языке Nim, замаскированный под обновление Telegram. Работает по расписанию, поддерживая устойчивость и выполняя первичную загрузку остальных компонентов. Программа подписана настоящим сертификатом разработчика Telegram, что позволяет ей избегать подозрений.
- Root Troy V4 — бэкдор на Go, обеспечивающий удалённое выполнение команд, загрузку дополнительных компонентов и управление системой после заражения. Он сохраняет конфигурации и состояние всей вредоносной инфраструктуры.
- a (InjectWithDyld) — загрузчик второго уровня, расшифровывающий импланты и внедряющий их в память. Использует macOS API для внедрения в процессы и удаляет свои следы после выполнения.
- XScreen (keyboardd) — компонент слежки, записывающий нажатия клавиш, экран и буфер обмена, передавая данные на управляющий сервер.
- CryptoBot (airmond) — инфостилер, нацеленный на более чем 20 криптокошельков. Извлекает чувствительные данные и сохраняет их в локальный зашифрованный кэш для последующей отправки злоумышленникам.
По словам Huntress, многие пользователи Mac ошибочно полагают, что такие устройства менее подвержены заражениям. Однако с ростом популярности macOS в корпоративной среде хакеры всё чаще адаптируют под неё свои инструменты. Атаки нацелены не только на массовый сбор криптовалюты, но и на точечное проникновение в инфраструктуру компаний, что требует нового уровня осведомлённости и защиты от пользователей.
