朝鲜APT组织使用Nim语言恶意软件对macOS发起隐秘Web3与加密货币攻击
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
朝鲜黑客组织利用名为'NimDoor'的恶意软件,针对Web3和加密货币初创企业的macOS系统进行攻击。该攻击结合社会工程学和新型持久化策略,使用AppleScript和Nim编译的二进制文件进行数据窃取,具备复杂的攻击特征,可能在未来重复使用。
🎯
关键要点
- 朝鲜黑客组织利用'NimDoor'恶意软件针对Web3和加密货币初创企业的macOS系统进行攻击。
- 攻击结合社会工程学和新型持久化策略,使用AppleScript和Nim编译的二进制文件进行数据窃取。
- 攻击链始于通过Telegram冒充可信联系人,诱骗受害者加入虚假Zoom会议。
- 恶意脚本托管在伪装成Zoom支持页面的域名上,包含拼写错误以混淆受害者。
- 恶意软件使用Nim语言编译,具备独特的macOS持久化技术,仅在进程终止时激活。
- 核心后门通过WSS协议与C2服务器通信,采用RC4加密和多层base64编码。
- 支持的命令包括执行任意shell命令和提取系统信息,数据窃取涉及多个浏览器和Telegram。
- 攻击特征包括Nim与C++混合负载、WSS加密C2通信、信号驱动持久化机制等。
- 该恶意软件家族被称为NimDoor,可能在未来针对macOS用户的攻击中重复使用。
➡️
