В современном мире цифровых технологий киберугрозы приобретают все более изощренный характер, охватывая как привычные системы, так и относительно новые направления, такие как Web3 и криптовалютные проекты. Недавний случай под названием Feeling Blue, раскрытый экспертами компании Huntress, представил публичности одну из самых сложных и технически продвинутых попыток взлома, совершенных северокорейской группой TA444, известной также как BlueNoroff или CageyChameleon. Этот инцидент служит наглядным примером того, как государственные акторы разрабатывают уникальные инструменты для атаки, используя возможности экосистемы macOS и Web3 с целью кражи криптовалютных активов и конфиденциальной информации. Первой стадией атаки стало классическое социальное инженерство с использованием мессенджера Telegram. Сотрудник криптовалютного фонда получил приглашение на онлайн-встречу с внешним контактом, замаскированное под Google Meet, однако ссылка перенаправляла жертву на поддельный Zoom-сервер, контролируемый атакующими.
Такое изощренное использование фишинговых инструментов демонстрирует растущую профессионализацию даже в начальных этапах взлома и подчеркивает необходимость повышения осведомленности сотрудников о скрытых рисках встреч и приложений. Во время фальшивой видеоконференции участник столкнулся с синтезированными глубокими подделками (deepfake) известных лиц из компании и партнерских структур. Это не только психологически воздействовало на жертву, но и создало эффект достоверности, заставившего пользователя следовать дальнейшим инструкциям злоумышленников – в данном случае совету скачать «расширение Zoom», на самом деле – вредоносный AppleScript файл. Особенность использования именно AppleScript связана с тем, что этот сценарий выполняется только в macOS, что подтверждает нацеленность группы на пользователей Apple. Полученный скрипт zoom_sdk_support.
scpt изначально открыл страницу с вполне легитимным контентом Zoom SDK, с целью создать иллюзию законности. Однако за тысячами пустых строк скрывалась команда загрузки вторичной нагрузки, которая, в свою очередь, скачивала и запускала вредоносные исполняемые файлы. Среди особенностей присутствовала проверка и даже скрытая установка Rosetta 2 – инструмента, обеспечивающего совместимость приложений, изначально разработанных для процессоров Intel, на новых Apple Silicon-чипах. Это позволяло атакующим запускать x86_64-бинарники без заметных сбоев. Дальнейший этап атаки включал использование нескольких вредоносных компонентов, собранных в сложную цепочку, среди которых наиболее важными являлись: Telegram 2 – постоянный имплантат, написанный на Nim, отвечающий за запуск основного бекдора Root Troy V4 или «remoted» – полнофункциональный бекдор на Go, служащий для загрузки и исполнения дополнительных вредоносных модулей InjectWithDyld (a) – загрузчик для выполнения внедрения кода в другие процессы путем расшифровки payload-ов XScreen (keyboardd) – продвинутый кейлоггер на Objective-C, отслеживающий нажатия клавиш, мониторинг буфера обмена и снятие скриншотов CryptoBot (airmond) – кража информации, специализированная на добыче криптовалютных кошельков из браузеров и расширений Подобный арсенал демонстрирует глубокое понимание macOS с точки зрения архитектуры и механизмов безопасности, включая обходы Apple Memory Protections.
Применение дебагерских привилегий, процесс-инжекций и шифрования команд управления (C2) свидетельствует об уровне подготовки и ресурсах группы TA444. Ключевая часть цепочки — Root Troy V4. Этот бекдор был обнаружен в директории /Library/WebServer/bin/remoted и имел шифрованные конфигурационные файлы, защищенные RC4 с предопределенным ключом. Помимо сокрытия настроек, он обладал гибкими возможностями удаленного исполнения команд, в том числе запуска AppleScript-скриптов для загрузки новых троянов. Помимо классических атак, вредоносная программа внедряла команды только если дисплей компьютера находился в спящем режиме, минимизируя риск обнаружения пользователем.
Особое внимание заслуживает технология внедрения вредоносного кода в сторонние процессы, редко используемая на macOS из-за строгих ограничений платформы. Использование специализированных entitlements, таких как com.apple.security.cs.
debugger и com.apple.security.get-task-allow, позволяло злоумышленникам получить task port целевого процесса и манипулировать его памятью через mach_vm API. Таким образом, атакующие внедряли исполняемые бинарники в «жертву» без запуска заметных новых процессов.
Продуктом подобного внедрения являлся основной Nim имплантат, который поддерживал двунаправленное командное управление через websocket соединение. Анализ его функционала продолжается, но уже сейчас известно, что он игра </simplified>ет роль отдаленного исполнительного узла с возможностями обхода защиты и расширенного контроля зараженного устройства. Вредоносный кейлоггер XScreen функционировал многозадачно: собирал нажатия клавиш, системно отслеживал изменения буфера обмена и периодически снимал экраны находящихся перед пользователем мониторов. Хранение конфигурации и передача собранных данных осуществлялись через сеть по HTTPS, что скрывало активности от стандартных средств мониторинга. Отдельного упоминания заслуживает CryptoBot, инфостилер, собиравший данные из криптокошельков и расширений популярных браузеров.
Его способность распознавать и извлекать информацию из множества известных кошельков, включая Metamask, Phantom, Rainbow и др., указывает на специальную направленность кампании — кражу цифровых средств пользователей блокчейн-экосистемы. В основе C2 коммуникаций использовались домены, создававшие иллюзию легитимности, а трафик зачастую шифровался с использованием встроенных алгоритмов AES-CFB с фиксированными ключами, что усложняло детектирование и анализ. Непосредственные адреса управляющих серверов включали metamask.awaitingfor.
site, productnews.online и другие сомнительные ресурсы. Атака Feeling Blue является также показательным уроком для снижения рисков инженерных ловушек, связанных с удаленными встречами. Рекомендуется обращать внимание на неожиданные изменения в привычных коммуникациях, подозрительные домены с редкими доменными зонами (.biz, .
xyz, .online), а также невозможность использования оборудования во время конференций – такие признаки должны быстро активировать защитные процедуры. В заключение стоит отметить, что миф о «нет вирусов на macOS» окончательно рушится. Профессиональные группировки, пользующиеся государственными ресурсами, уже давно разработали множество специфичных и эффективных инструментов для атаки пользователей Apple. При этом их акцент на криптовалютные и Web3-направленные проекты говорит о серьезной угрозе для индустрии, которая требует усиленного внимания со стороны специалистов по кибербезопасности.
Пользователям macOS важно внедрять комплексные меры защиты, включая проактивный мониторинг, обучение сотрудников в области кибергигиены, контроль приложений и сетевого трафика, а также своевременное обновление ПО. Тайм-ериная реакция и детальный аудит систем после подозрительных инцидентов способны существенно сократить ущерб и повысить уровень защиты цифровых активов. Характер и глубина атаки Feeling Blue подчеркивает эволюцию киберугроз и необходимость постоянного развития технологий и методов защиты, чтобы идти в ногу со злоумышленниками. Внимательное изучение таких примеров и внедрение полученных знаний помогут минимизировать риски в условиях растущего числа целевых атак на Web3 и macOS платформы.
![The Ancient Mexican Temple Built to honour a Serpent God [video]](/images/2550B573-6A88-46D4-864D-6D42CF7F5697)
