根据 SentinelOne 的调查结果， 朝鲜 APT 组织“ BlueNoroff ”正在针对加密相关企业发起代号为“Hidden Risk（隐藏风险）”的攻击活动。

该活动使用网络钓鱼电子邮件、伪造的 PDF 应用程序和新颖的技术来逃避 Apple 的安全措施。

朝鲜Lazarus APT组织的一个分支 BlueNoroff 在 2024 年 7 月开始的一场活动中，通过电子邮件和 PDF 诱饵以虚假新闻标题/加密相关故事为目标，攻击加密货币和 DeFi 企业。

根据 SentinelOne 的最新研究，攻击者采用了独特的策略来逃避检测并入侵受害者系统。

攻击始于一封精心制作的网络钓鱼电子邮件，诱使毫无戒心的受害者点击一个恶意链接，该链接指向一个看似合法的 PDF 文档，而该文档实际上隐藏了一个基于 Swift 语言的恶意 Mac 应用程序，该应用程序巧妙地伪装成 PDF 阅读器。

在这些电子邮件中，朝鲜黑客嵌入了一个恶意的 macOS 应用程序，该应用程序伪装成一份 PDF 文档的链接，该文档与加密货币主题有关，例如“比特币价格新一轮飙升背后的隐藏风险”、“山寨币季节 2.0——值得关注的隐藏宝石”和“稳定币和 DeFi、CeFi 的新时代”。

SentinelOne 表示，这项名为“Hidden Risk”的攻击活动还滥用“zshenv”配置文件来保持持久性，而不会触发 macOS Ventura 的后台项目修改通知。

macOS 通知旨在提醒用户注意 LaunchAgents 和 LaunchDaemons 等常见持久性方法的变化。

根据SentinelOne 文档，第一阶段恶意软件是一个用 Swift 编写的 macOS 应用程序，其名称与嵌入的 PDF 文档相同。该应用程序使用合法的 Apple Developer ID（现已撤销）进行签名，并在执行时从 Google Drive 链接下载诱饵 PDF，并使用默认的 macOS PDF 查看器打开它，以避免引起怀疑。

研究人员发现该恶意软件会从硬编码 URL 下载并执行恶意的 x86-64 二进制文件。该应用程序通过在其 Info.plist 文件中指定例外来允许不安全的 HTTP 连接，从而绕过 macOS 安全功能。

该公司还记录了使用第二阶段后门的情况，该后门收集系统信息、生成唯一标识符并与命令和控制 (C2) 服务器建立通信。

SentinelOne 表示，该后门被编程为将操作系统版本、硬件型号和进程列表发送到 C2 服务器，并等待进一步的指示。

技术报告：https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence/

新闻链接：

https://hackread.com/north-korean-hackers-crypto-fake-news-hidden-risk-malware/

https://securityweek.com/north-korean-hackers-target-macos-users-with-fake-crypto-pdfs/