NimDoor加密盗窃macOS恶意软件被删除后会自动恢复

安全研究人员发现，有黑客一直在使用一种名为NimDoor的新macOS恶意软件系列，以web3和加密货币组织为目标。分析有效载荷的研究人员发现，攻击者依赖于不寻常的技术和以前未见过的基于信号的持久性机制。

该攻击链包括通过Telegram联系受害者，引诱他们运行假的Zoom SDK更新，通过Calendly和电子邮件发送，类似于最近与BlueNoroff关联的一个由Huntress管理的安全平台。

高级macOS恶意软件

网络安全公司SentinelOne的研究人员表示，黑客在macOS上使用c++和NimDoor编译的二进制文件（统称为NimDoor），这“是一种更不寻常的选择”。

其中一个由nimm编译的二进制文件，‘installer’，负责初始设置和分级，准备目录和配置路径。它还会将另外两个二进制文件“GoogIe LLC”和“CoreKitAgent”放入受害者的系统中。

GoogIe LLC接管收集环境数据并生成十六进制编码的配置文件，将其写入临时路径。它为持久性设置了macOS LaunchAgent (com.google.update.plist)，它在登录时重新启动GoogIe LLC，并为以后的阶段存储身份验证密钥。

攻击中使用的最先进的组件是CoreKitAgent，这是NimDoor框架的主要有效载荷，它作为事件驱动的二进制文件运行，使用macOS的kqueue机制来异步管理执行。

它实现了一个带有硬编码状态转换表的10例状态机，允许基于运行时条件的灵活控制流。最显著的特性是它基于信号的持久性机制，它为SIGINT和SIGTERM安装自定义处理程序。

为SIGINT和SIGTERM注册自定义信号处理程序

这些信号通常用于终止进程，但是当其中任何一个被捕获时，CoreKitAgent会触发一个重新安装例程，重新部署GoogIe LLC，恢复持久链。

当触发时，CoreKitAgent捕获这些信号并写入LaunchAgent用于持久化，GoogIe LLC的副本作为加载器，以及自身的副本作为木马，通过addExecutionPermissions_user95startup95mainZutils_u32函数设置后两者的可执行权限。这种行为确保了任何用户发起的恶意软件终止都会导致核心组件的部署，使代码能够抵御基本的防御行动。

当进程终止时将恶意软件组件写回磁盘

CoreKitAgent解码并运行十六进制编码的AppleScript，该AppleScript每30秒向攻击者基础设施发出信标，泄露系统数据，并通过osascript执行远程命令，提供轻量级后门。

与NimDoor执行并行，zoom_sdk_support.scpt触发涉及trojan1_arm64的第二个注入链，它启动基于wss的C2通信并下载两个脚本（upl和tlgrm），以促进数据盗窃。

在“zoom_sdk_support. conf”的情况下，在Scpt的加载器中，研究人员注意到它包含超过10000行用于混淆目的的空白行。

Upl从web浏览器中提取数据，抓取Keychain，.bash_history和.zsh_history，并使用curl将其泄露到dataupload[.]store。Tlgrm专注于窃取Telegram数据库和. tempkeyencrypted，很可能使用它们来解密目标在平台上交换的消息。

针对Telegram数据的tlgrm脚本

总的来说，NimDoor框架和SentinelLABS分析的其他后门是与朝鲜威胁者有关的最复杂的macOS恶意软件家族。

该恶意软件的模块化使其具有灵活性，并且使用了新的技术，如基于信号的持久性，这表明朝鲜网安人员正在发展他们的工具包以扩展其跨平台能力。