TodoSwift Mac Malware

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г

Превод на:

Изследователите на киберсигурността откриха нов вид злонамерен софтуер за macOS, наречен TodoSwift, който споделя характеристики с известния злонамерен софтуер, свързан със севернокорейските хакерски групи.

Това приложение проявява няколко поведения, подобни на зловреден софтуер, приписван преди това на Северна Корея (КНДР), особено групата за заплахи BlueNoroff, която е свързана със зловреден софтуер като KANDYKORN и RustBucke . RustBucket, за който беше съобщено за първи път през юли 2023 г., е базирана на AppleScript задна врата, предназначена да извлича допълнителни полезни товари от сървър за командване и управление (C2).

Съдържание

Свързани със Северна Корея злонамерени заплахи

В края на миналата година изследователите откриха друг зловреден софтуер за macOS, известен като KANDYKORN, който беше използван в кибератака, насочена към блокчейн инженери на неназована борса за криптовалута.

KANDYKORN се доставя чрез сложна многоетапна верига за заразяване и е оборудван за достъп и ексфилтриране на данни от компютъра на жертвата. Освен това може да прекрати произволни процеси и да изпълнява команди на хост системата.

Основно сходство между двете фамилии злонамерен софтуер е тяхното използване на домейни linkpc.net за командни и контролни (C2) операции. Смята се, че както RustBucket, така и KANDYKORN са дело на Lazarus Group , включително нейния подклъстер, известен като BlueNoroff.

Северна Корея, чрез групи като Lazarus Group, продължава да се насочва към бизнеса в индустрията на криптовалута с цел събиране на криптовалута, за да заобиколи международните санкции, които ограничават техния икономически растеж и амбиции.

Верига за атака TodoSwift

При атаката на TodoSwift участниците в заплахата се насочиха към блокчейн инженери на публичен чат сървър с примамка, съобразена с техните умения и интереси, обещавайки финансови награди.

Последните открития разкриват, че TodoSwift се разпространява като подписан файл с име TodoTasks, който съдържа капкообразуващ компонент. Този компонент е GUI приложение, изградено със SwiftUI, предназначено да представи въоръжен PDF документ на жертвата, докато тайно изтегля и изпълнява двоичен файл от втори етап, техника, използвана и от RustBucket.

PDF примамката е доброкачествен документ, свързан с биткойни, хостван в Google Drive, докато заплашителният полезен товар се извлича от домейн, контролиран от актьор, „buy2x.com“. Този полезен товар е създаден, за да събира системна информация и да внедрява допълнителен зловреден софтуер.

Веднъж инсталиран, злонамереният софтуер може да събира подробности за устройството, като версията на операционната система и хардуерния модел, да комуникира със сървъра за командване и управление (C2) чрез API и да записва данни в изпълним файл на устройството. Използването на URL адрес на Google Диск за примамката и предаването на URL адреса на C2 като аргумент за стартиране към двоичния файл от втория етап е в съответствие с тактиката, наблюдавана в предишни зловреден софтуер на КНДР, насочен към macOS системи.