朝鲜黑客在加密货币盗窃攻击中使用新 macOS 恶意软件
Source: Bleeping Computer
朝鲜黑客正在开展针对性活动,利用 AI 生成的视频和 ClickFix 技术向加密货币行业的目标投放 macOS 和 Windows 恶意软件。威胁行为者的目标是金钱,这一点从他们在谷歌 Mandiant 研究人员调查的一起针对金融科技公司的攻击中使用的工具的作用可以看出。
在响应过程中,研究人员发现了七个不同的 macOS 恶意软件家族,并将此次攻击归因于 UNC1069,这是他们自 2018 年起追踪的一个威胁组织。
感染链
此次攻击具有强大的社会工程成分。受害者通过 Telegram 收到来自一家加密货币公司被攻陷的高管账户的联系。 在建立信任后,黑客分享了一个 Calendly 链接,将受害者引导至伪造的 Zoom 会议页面,该页面托管在攻击者的基础设施上。
据目标称,黑客展示了另一家加密货币公司 CEO 的深度伪造视频。Mandiant 研究人员表示:“一旦进入‘会议’,该伪造视频通话制造了一个骗局,使最终用户产生音频出现问题的错觉。”1
借此借口,攻击者指示受害者使用网页上提供的命令来排查问题。Mandiant 在该页面上发现了针对 Windows 和 macOS 的命令,可启动感染链。
Huntress 研究人员在 2025 年中记录到类似的攻击手法,并将其归因于 BlueNoroff 组织(亦称 Sapphire Sleet 和 TA44),该组织使用不同的载荷针对 macOS 系统。
macOS 恶意软件
Mandiant 研究人员在感染链启动后观察到 AppleScript 执行,随后部署了恶意的 Mach‑O 二进制文件。在下一阶段,攻击者执行了七个不同的恶意软件家族:
- WAVESHAPER – 用 C++ 编写的后门,以后台守护进程形式运行,收集主机系统信息,通过
curl使用 HTTP/HTTPS 与 C2 通信,并下载和执行后续负载。 - HYPERCALL – 基于 Golang 的下载器,读取 RC4 加密的配置文件,通过 TCP 443 上的 WebSockets 与 C2 连接,下载恶意动态库,并以反射方式加载到内存中。
- HIDDENCALL – 由 HYPERCALL 以反射方式注入的基于 Golang 的后门;提供键盘访问,支持命令执行和文件操作,并部署额外的恶意软件。
- SILENCELIFT – 极简的 C/C++ 后门,将主机信息和锁屏状态发送到硬编码的 C2 服务器,并且在以 root 权限执行时可以中断 Telegram 通信。
- DEEPBREATH – 基于 Swift 的数据采集器,通过 HIDDENCALL 部署;通过修改 TCC 数据库绕过 macOS TCC 保护,以获取广泛的文件系统访问权限,窃取钥匙串凭证、浏览器数据、Telegram 数据以及 Apple Notes 数据。
- SUGARLOADER – 使用 RC4 加密配置检索下一阶段负载的 C++ 下载器,并通过手动创建的启动守护进程实现持久化。
- CHROMEPUSH – 由 SUGARLOADER 部署的 C++ 浏览器数据采集器;以伪装成 Google Docs 离线扩展的 Chromium 本机消息宿主身份安装,收集按键、凭证、Cookie,并可选地截取屏幕截图。
.jpg)
攻击链概览
来源:Mandiant
在发现的恶意软件中,SUGARLOADER 在 VirusTotal 上的检测次数最多,其次是仅被两款产品标记的 WAVESHAPER。其余家族在该平台的恶意软件数据库中未出现。
Mandiant 指出 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH 代表了威胁行为者使用的一套新工具。研究人员描述在单一主机上部署的大量恶意软件异常,确认这是一场针对性攻击,旨在尽可能多地收集数据,目的有两个:加密货币盗窃以及通过利用受害者的身份和数据为未来的社会工程活动提供燃料。
自 2018 年以来,UNC1069 已展示出通过采用新技术和工具进行演进的能力。2023 年,该组织将目标转向 Web3 行业(中心化交易所、开发者、风险投资基金)。去年,威胁行为者进一步转向金融服务和加密货币行业的支付、经纪以及钱包基础设施等垂直领域。
Footnotes
-
Mandiant researchers, “UNC1069 targets cryptocurrency with AI‑driven social engineering,” Google Cloud Blog. https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering. ↩