TodoSwift Mac Malware

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)

Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili nový kmen malwaru macOS nazvaný TodoSwift, který sdílí charakteristiky se známým malwarem spojeným se severokorejskými hackerskými skupinami.

Tato aplikace vykazuje několik chování podobných malwaru dříve připisovanému Severní Koreji (KLDR), zejména skupině hrozeb BlueNoroff, která je spojena s malwarem jako KANDYKORN a RustBucke . RustBucket, poprvé ohlášený v červenci 2023, je zadní vrátka založená na AppleScriptu navržená k získávání dalších užitečných dat ze serveru Command-and-Control (C2).

Obsah

Malwarové hrozby spojené se Severní Koreou

Koncem minulého roku výzkumníci objevili další malware pro macOS známý jako KANDYKORN, který byl použit při kybernetickém útoku zaměřeném na blockchainové inženýry na nejmenovanou burzu kryptoměn.

KANDYKORN je dodáván prostřednictvím složitého vícestupňového infekčního řetězce a je vybaven pro přístup a exfiltraci dat z počítače oběti. Navíc může ukončit libovolné procesy a provádět příkazy na hostitelském systému.

Klíčovou podobností mezi těmito dvěma rodinami malwaru je jejich použití domén linkpc.net pro operace Command-and Control (C2). Jak RustBucket, tak KANDYKORN jsou považovány za dílo skupiny Lazarus Group , včetně jejího podskupiny známé jako BlueNoroff.

Severní Korea se prostřednictvím skupin, jako je Lazarus Group, nadále zaměřuje na podniky v odvětví kryptoměn s cílem sklízet kryptoměny, aby se vyhnula mezinárodním sankcím, které omezují jejich ekonomický růst a ambice.

Útokový řetězec TodoSwift

V útoku TodoSwift se aktéři hrozby zaměřili na blockchainové inženýry na veřejném chatovacím serveru s návnadou přizpůsobenou jejich dovednostem a zájmům a slibovali finanční odměny.

Nedávná zjištění ukazují, že TodoSwift je distribuován jako podepsaný soubor s názvem TodoTasks, který obsahuje komponentu dropper. Tato komponenta je GUI aplikace vytvořená pomocí SwiftUI, navržená tak, aby oběti předložila zbraňový dokument PDF a zároveň tajně stahovala a spouštěla binární soubor druhé fáze, což je technika, kterou používá také RustBucket.

Návnada PDF je neškodný dokument související s bitcoiny hostovaný na Disku Google, zatímco hrozivý náklad je načten z domény „buy2x.com“ kontrolované hercem. Toto užitečné zatížení je vytvořeno tak, aby shromažďovalo systémové informace a nasazovalo další malware.

Po instalaci může malware shromažďovat podrobnosti o zařízení, jako je verze operačního systému a model hardwaru, komunikovat se serverem Command-and-Control (C2) prostřednictvím rozhraní API a zapisovat data do spustitelného souboru na zařízení. Použití adresy URL Disku Google pro návnadu a předání adresy URL C2 jako argumentu pro spuštění binárnímu systému druhé fáze je v souladu s taktikou, kterou lze vidět v předchozích systémech macOS zaměřených na malware v KLDR.