Các nhà nghiên cứu tại SentinelOne đã phát hiện NimDoor, một chiến dịch phần mềm độc hại MacOS phức tạp được quy kết cho các tác nhân liên kết với Triều Tiên, nhiều khả năng là nhóm Stardust Chollima. Sự xuất hiện của NimDoor đánh dấu một sự gia tăng đáng kể các mối đe dọa mạng nhắm vào ngành công nghiệp tiền điện tử.
Hoạt động ít nhất từ tháng 4 năm 2025, NimDoor khai thác các kỹ thuật lừa đảo xã hội bằng cách mạo danh các bản cập nhật Zoom SDK để xâm nhập vào các tổ chức Web3 và tiền điện tử. Mục tiêu cuối cùng của chúng là trích xuất dữ liệu nhạy cảm như thông tin xác thực từ Keychain, lịch sử trình duyệt và thông tin người dùng Telegram.
Chi Tiết Chuỗi Lây Nhiễm
Kỹ Thuật Lừa Đảo Xã Hội
Chuỗi lây nhiễm bắt đầu khi các tác nhân tấn công mạo danh những liên hệ đáng tin cậy thông qua Telegram, lôi kéo nạn nhân lên lịch các cuộc họp Zoom qua Calendly. Sau đó, nạn nhân sẽ nhận được các email lừa đảo chứa một tập lệnh AppleScript độc hại được ngụy trang dưới dạng “cập nhật Zoom SDK”. Dấu hiệu nhận biết tập lệnh này là một lỗi chính tả tinh vi (“Zook” thay vì “Zoom“) trong phần chú thích của mã.
AppleScript Độc Hại và Triển Khai Payload
Khi được thực thi, tập lệnh AppleScript sẽ triển khai hai tệp nhị phân Mach-O:
- Một thành phần dựa trên C++ chịu trách nhiệm giải mã và thực thi các payload tập trung vào việc đánh cắp dữ liệu.
- Một “trình cài đặt” được biên dịch bằng Nim, có nhiệm vụ thiết lập các cơ chế duy trì trên hệ thống.
Đặc Điểm Nhận Dạng Ngôn Ngữ Nim
Tên của phần mềm độc hại, NimDoor, xuất phát từ việc nó phụ thuộc nhiều vào các tệp nhị phân được biên dịch bằng ngôn ngữ Nim. Đây là một lựa chọn hiếm thấy đối với các mối đe dọa trên MacOS. Việc sử dụng Nim cho phép NimDoor tận dụng khả năng thực thi tại thời điểm biên dịch của ngôn ngữ để xen kẽ mã dành cho nhà phát triển và mã thời gian chạy. Cách tiếp cận này giúp làm phức tạp quá trình phân tích tĩnh (static analysis) và gây khó khăn cho việc phát hiện.
Theo báo cáo của Polyswarm, phương pháp này được xây dựng dựa trên những thử nghiệm trước đây của các tác nhân Triều Tiên với các ngôn ngữ như Go và Rust, đánh dấu một sự phát triển trong khả năng tấn công của chúng nhằm vào các mục tiêu có giá trị cao.
Kiến Trúc Kỹ Thuật và Cơ Chế Hoạt Động
Triển Khai Nhị Phân và Duy Trì Ổn Định
Để đảm bảo tự động thực thi khi hệ thống khởi động, NimDoor ngụy trang các tiến trình của nó dưới dạng các tiến trình hợp pháp như “GoogIe LLC” (cố ý sai chính tả) và “CoreKitAgent“. Các tiến trình này được cấu hình thông qua một tệp LaunchAgent plist.
Kỹ Thuật Injection Tiến Trình
Sự tinh vi về kỹ thuật của NimDoor còn thể hiện ở việc sử dụng kỹ thuật process injection (tiêm tiến trình). Đây là một kỹ thuật không phổ biến trên MacOS, cho phép phần mềm độc hại chiếm quyền điều khiển các tiến trình hợp pháp để thực hiện các hoạt động ẩn danh.
Giao Tiếp Command-and-Control (C2)
Giao tiếp giữa NimDoor và máy chủ Command-and-Control (C2) diễn ra thông qua các kênh WebSocket (wss) được mã hóa TLS. Một AppleScript được mã hóa hex sẽ báo hiệu đến các máy chủ C2 đã được mã hóa cứng mỗi 30 giây. Chức năng backdoor này cho phép thực thi tập lệnh từ xa và trích xuất danh sách các tiến trình đang chạy, tạo điều kiện thuận lợi cho việc di chuyển ngang (lateral movement) và trinh sát.
Cơ Chế Duy Trì Độc Đáo SIGINT/SIGTERM
Một tính năng đặc biệt và mới lạ của NimDoor là bộ xử lý tín hiệu SIGINT/SIGTERM. Bộ xử lý này chặn các tín hiệu chấm dứt để kích hoạt quá trình cài đặt lại phần mềm độc hại khi bị đóng hoặc khởi động lại. Đây là phương pháp duy trì đầu tiên thuộc loại này trên nền tảng MacOS, cho thấy mức độ tinh vi cao trong việc duy trì sự hiện diện trên hệ thống bị lây nhiễm.
Mục Tiêu Trích Xuất Dữ Liệu
Các tập lệnh Bash nhúng sâu trong NimDoor tiếp tục nâng cao khả năng đánh cắp dữ liệu của nó. Phần mềm độc hại này có khả năng trích xuất một cách có hệ thống các thông tin xác thực từ macOS Keychain, dữ liệu duyệt web từ các ứng dụng phổ biến bao gồm Chrome, Firefox, Brave, Arc và Edge. Ngoài ra, nó còn thu thập các cơ sở dữ liệu Telegram chứa địa chỉ ví và chi tiết phiên đăng nhập.
Để giảm thiểu sự nghi ngờ của nạn nhân trong quá trình thỏa hiệp, các tác nhân tấn công còn kết hợp các yếu tố đánh lạc hướng, chẳng hạn như lên lịch các cuộc gọi Zoom hợp pháp.
Phân Tích Nhóm Tấn Công Stardust Chollima
Bối Cảnh và Mục Đích
Sự kết hợp giữa kỹ thuật lừa đảo xã hội và kỹ thuật phần mềm độc hại tiên tiến nhấn mạnh phương thức hoạt động (modus operandi) của nhóm Stardust Chollima, còn được biết đến với các tên khác như TA444, APT38, hoặc BlueNoroff. Là một đơn vị con của Lazarus Group thuộc Cục Trinh sát Tổng hợp Triều Tiên, nhóm này đã hoạt động từ năm 2014, tập trung vào lợi ích tài chính thông qua việc đánh cắp tiền điện tử nhằm lách các lệnh trừng phạt quốc tế.
Chiến Thuật Tấn Công
Các chiến thuật của Stardust Chollima thường bao gồm tấn công lừa đảo có chủ đích (spear-phishing), sử dụng công nghệ deepfake, và khai thác các lỗ hổng bảo mật. Chúng nhắm mục tiêu vào các thực thể ở Hoa Kỳ, Châu Âu và Châu Á, đặc biệt là ở Hàn Quốc và Nhật Bản.
Sự xuất hiện của NimDoor làm nổi bật mối đe dọa ngày càng tăng đối với hệ sinh thái MacOS trong lĩnh vực tiền điện tử.
Khuyến Nghị Phòng Ngừa
Các tổ chức được khuyến nghị triển khai các giải pháp phát hiện điểm cuối (endpoint detection) mạnh mẽ, kiểm tra kỹ lưỡng các bản cập nhật từ bên thứ ba và theo dõi các hành vi xử lý tín hiệu bất thường hoặc lưu lượng truy cập WebSocket đáng ngờ. Các nhà phân tích cũng khuyến nghị cảnh giác cao độ trước các hành vi mạo danh trên các nền tảng như Telegram và xác minh nguồn gốc phần mềm để giảm thiểu rủi ro từ các cuộc tấn công có chủ đích như NimDoor.
