Связанные с Северной Кореей киберпреступники устроили настоящую охоту на Web3-проекты и криптовалютные компании с помощью продвинутого вируса на языке программирования Nim. Их тактики постоянно эволюционируют, становясь все опаснее.
Исследователи из SentinelOne отмечают: «На macOS хакеры применяют нетипичные методы — вплоть до внедрения в системные процессы и скрытых коммуникаций через wss (WebSocket по TLS)».
Главная фишка — вирус умеет закрепляться в системе намертво: даже после перезагрузки или завершения процесса, он оживает вновь за счёт обработки сигналов SIGINT/SIGTERM.
Эксперты по безопасности называют этот зловредный набор компонентов NimDoor. Похожие атаки уже были, но состав вредоносных файлов и способы доставки злоумышленники постоянно меняют.
Атака строится на ловкой социальной инженерии. Хакеры выходят на жертву через Telegram, назначают встречу в Zoom через сервис Calendly и отправляют на почту специальную ссылку вместе с "инструкцией" — якобы для обновления Zoom через доверенный скрипт.
Но на деле этот скрипт запускает AppleScript, который подгружает с удалённого сервера ещё одну вредоносную программу и незаметно для пользователя открывает официальный сайт Zoom. После этого следуют распаковка зашифрованных ZIP-архивов с бинарными файлами для скрытой установки вируса и запуск bash-скриптов для кражи информации.
Основное заражение происходит через С++-загрузчик InjectWithDyldArm64. Он расшифровывает две встроенные программы — Target и trojan1_arm64. Target запускается в спящем режиме, туда подмешивается код вируса, и после этого работа продолжается как ни в чём не бывало.
Дальше вирус соединяется с сервером управления, получает команды — собрать информацию о системе, запускать любые процессы и даже менять рабочую папку. Все данные тут же улетают к хакерам.
Trojan1_arm64 способен подгружать дополнительные вредоносы, тянуть пароли из популярных браузеров (Arc, Brave, Chrome, Edge, Firefox), а также вытаскивать данные из Telegram.
К тому же вирус скачивает на заражённый компьютер Nim-исполняемый файл, который следит, чтобы жертва не отключила вредонос — если его пытаются убрать, он автоматически запускается снова, закрепляясь в системе.
«Если пользователь “убивает” процесс трояна, тот немедленно восстанавливает свои основные компоненты, и избавиться от него простым удалением практически невозможно», — поясняют эксперты.
Ещё один важный момент: каждые 30 секунд вирус связывается с C2-серверами, отправляет список запущенных процессов и получает новые команды от хакеров.
Всё это ясно показывает: северокорейские хакеры сделали ставку на macOS, используя AppleScript как выгребную дверь для кражи информации.
Ранее эти же группы тестировали вирусы на Go и Rust, используя похожие цепочки доставки с многоступенчатым запуском скриптов, добавляют специалисты.
«Главное преимущество Nim — функция выполнения кода уже на этапе компиляции. Это даёт возможность прятать сложную логику и скрывать вредоносное поведение даже внутри отдельных функций», — подчёркивают исследователи.
Kimsuky не сбавляет обороты: новые трюки ClickFix и волна атак BabyShark#
Пока все обсуждают вирус Nim, эксперты Genians из Южной Кореи отмечают новую активность другой северокорейской группы — Kimsuky. Эти хакеры продолжают использовать трюк ClickFix для доставки вредоносных программ в рамках знаменитой кампании BabyShark.
Первая волна атак прошла в январе 2025: цель — эксперты по национальной безопасности из Южной Кореи. Жертвам рассылались письма якобы от немецкой деловой газеты с предложением об интервью. Внутри — архив .RAR, где скрывается вредоносный VBS-скрипт под видом обычного файла.
Запустив VBS, пользователь открывает фальшивый Google Docs, а в это время вредонос проникает в систему и отправляет собранные данные хакерам.
В марте 2025 зафиксировали новый сценарий: жертве, которая представляется сотрудником американских спецслужб, отправляли PDF с вопросами для встречи в Корее.
«Злоумышленники просили пользователя открыть файл-“инструкцию” и ввести код для подтверждения личности — якобы получить доступ к защищённому документу», — рассказали в Genians. «Если раньше ClickFix просто требовал кликнуть для “устранения ошибки”, то теперь — скопировать и вставить специальный код».
Похожий случай случился в апреле 2025: письмо как будто приходит от японского дипломата с просьбой организовать встречу с послом Японии в США.
Запуск зашифрованной PowerShell-команды открывает фейковый Google Docs, чтобы отвлечь внимание, а в это время на компьютер без ведома пользователя прописывается вирус, открывается канал связи с C2, идёт сбор данных и загрузка новых вредоносных модулей.
Другая версия ClickFix — имитация сайта вакансий в оборонной сфере. Кликнув по «вакансии», пользователь получает pop-up: предлагают открыть строку «Выполнить» в Windows и вставить спецкоманду для PowerShell.
В итоге на компьютер ставится удалённый доступ Chrome Remote Desktop, и у хакеров появляется возможность управлять машиной через SSH. Эксперты нашли сервер управления, на котором были открыты данные о жертвах из Южной Кореи.
На одном из таких C2-серверов обнаружился и китайский IP, где хранился кейлоггер, а также архив Proton Drive — с его помощью BabyShark распространялся по многоступенчатой схеме на Windows.
Месяц назад Kimsuky попробовал новый приём: псевдо-страница Naver CAPTCHA предлагала пользователю скопировать и вставить PowerShell-команду, запускающую скрипт AutoIt для выкачивания личных данных.
«Кампания BabyShark славится молниеносной сменой сценариев — хакеры активно внедряют свежие методы, сочетая их со скриптами», — утверждают специалисты. «ClickFix уже стал универсальным, легко настраиваемым инструментом».
В последние недели Kimsuky активно рассылает фишинговые письма под видом университетской переписки — а на самом деле прячет внутри вредонос под маской рецензии на научную работу.
Письмо содержит документ HWP с вредоносной OLE-вставкой, защищённый паролем — пароль, разумеется, указан в письме.
При открытии файл запускает скрытый PowerShell-скрипт: он собирает информацию о системе и устанавливает AnyDesk, открывая хакерам постоянный удалённый доступ к компьютеру.
Kimsuky постоянно придумывает новые уловки и совершенствует инструменты: часть атак идёт через GitHub, где хранятся вирусы, например, Xeno RAT.
«Вредоносы получали доступ к приватным репозиториям через заранее встроенный GitHub Personal Access Token (PAT)», — поделились эксперты ENKI WhiteHat. «С помощью токена хакеры скачивали вирусы из закрытых репозиториев и загружали туда похищенные данные».
Цепочка атаки обычно такая: фишинговое письмо с архивом, где внутри файл-ярлык LNK. Открываешь — запускается PowerShell-скрипт, который скачивает и открывает подделку-документ, а в систему прописывает Xeno RAT и модуль для кражи данных.
Иногда использовались PowerShell-скачиватели, которые тащат RTF-файл с Dropbox, чтобы получить доступ к Xeno RAT. Эти атаки связаны с другим зловредом — обновлённой версией MoonPeak.
«Хакеры не просто управляли вирусами, но и сливали журналы заражённых машин и украденную информацию в свои приватные репозитории через персональные токены GitHub», — уточняют в ENKI. «Это ещё раз доказывает устойчивость и изобретательность Kimsuky — их способность быстро осваивать новые площадки и инструменты, вплоть до GitHub и Dropbox».
По данным NSFOCUS, из всех корейских APT-групп Kimsuky остаётся одной из самых активных (наряду с Konni): только в мае 2025 ей приписали 5% всех крупных атак из 44 зафиксированных эпизодов. Месяцем раньше в топ-3 злодеев попали Kimsuky, Sidewinder и Konni.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru