Κακόβουλο λογισμικό RustBucket
Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν μια νέα μορφή κακόβουλου λογισμικού που έχει σχεδιαστεί ειδικά για να στοχεύει συσκευές Apple με macOS. Αυτό το απειλητικό λογισμικό, γνωστό ως RustBucket, χρησιμοποιείται από μια ομάδα προηγμένης επίμονης απειλής (APT) που ονομάζεται BlueNoroff, η οποία πιστεύεται ότι συνδέεται στενά με ή πιθανώς ακόμη και μια υποομάδα της διαβόητης ομάδας Lazarus .
Συγκεκριμένα, το BlueNoroff είχε στο παρελθόν στοχεύσει συστήματα που βασίζονται σε Windows χρησιμοποιώντας κακόβουλο λογισμικό που ήταν σε θέση να παρακάμψει τα πρωτόκολλα ασφαλείας Mark-of-the-Web. Το κακόβουλο λογισμικό macOS που ανακαλύφθηκε πρόσφατα είναι μεταμφιεσμένο ως μια νόμιμη εφαρμογή προβολής PDF που ονομάζεται «Internal PDF Viewer» και φαίνεται να λειτουργεί όπως αναμένεται. Ωστόσο, στην πραγματικότητα, είναι ένα ύπουλο εργαλείο που χρησιμοποιείται για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητα δεδομένα σε παραβιασμένα συστήματα. Λεπτομέρειες σχετικά με την απειλή έδωσε στη δημοσιότητα η Jamf, μια εταιρεία διαχείρισης κινητών συσκευών.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό RustBucket macOS παραδίδεται σε πολλαπλά στάδια
Το κακόβουλο λογισμικό RustBucket χρησιμοποιεί μια προσέγγιση πολλαπλών σταδίων για να μολύνει τις στοχευμένες συσκευές Mac. Το πρώτο στάδιο είναι μια ανυπόγραφη εφαρμογή που ονομάζεται «Internal PDF Viewer», η οποία, κατά την εκτέλεση, κατεβάζει το δεύτερο στάδιο του κακόβουλου λογισμικού από έναν διακομιστή Command-and-Control (C2).
Το δεύτερο στάδιο του κακόβουλου λογισμικού φέρει το ίδιο όνομα - "Internal PDF Viewer", αλλά αυτή τη φορά, είναι μια υπογεγραμμένη εφαρμογή που έχει σχεδιαστεί για να μοιάζει με ένα νόμιμο αναγνωριστικό πακέτου Apple (com.apple.pdfViewer) και διαθέτει ad-hoc υπογραφή. Διαχωρίζοντας το κακόβουλο λογισμικό σε διαφορετικά στάδια, οι παράγοντες απειλών καθιστούν πιο δύσκολη την ανάλυση, ιδιαίτερα εάν ο διακομιστής C2 είναι εκτός σύνδεσης.
Ένα κατεστραμμένο αρχείο PDF είναι το τελευταίο κομμάτι της μόλυνσης RustBucket
Ωστόσο, ακόμη και σε αυτό το στάδιο, το RustBucket δεν θα ενεργοποιήσει καμία από τις κακόβουλες δυνατότητές του. Για να ενεργοποιηθεί με επιτυχία η πραγματική του λειτουργικότητα στη συσκευή macOS που έχει παραβιαστεί, πρέπει να ανοίξει ένα συγκεκριμένο αρχείο PDF. Αυτό το κατεστραμμένο αρχείο PDF είναι μεταμφιεσμένο σε ένα έγγραφο εννέα σελίδων που υποτίθεται ότι περιέχει πληροφορίες σχετικά με εταιρείες επιχειρηματικών κεφαλαίων που επιδιώκουν να επενδύσουν σε τεχνικές νεοσύστατες επιχειρήσεις.
Στην πραγματικότητα, το άνοιγμα του αρχείου θα ολοκληρώσει την αλυσίδα μόλυνσης RustBucket ενεργοποιώντας την εκτέλεση ενός Trojan 11,2 MB που είναι επίσης υπογεγραμμένο με ad-hoc υπογραφή και γραμμένο σε Rust. Η απειλή Trojan μπορεί να εκτελέσει διάφορες παρεμβατικές λειτουργίες, όπως τη διεξαγωγή αναγνώρισης συστήματος με τη συλλογή βασικών δεδομένων συστήματος και τη λήψη μιας λίστας με τις τρέχουσες διεργασίες που εκτελούνται. Η απειλή στέλνει επίσης δεδομένα στους εισβολείς εάν εκτελείται σε εικονικό περιβάλλον.
Οι κυβερνοεγκληματίες αρχίζουν να προσαρμόζονται στο οικοσύστημα macOS
Η χρήση κακόβουλου λογισμικού από εισβολείς στον κυβερνοχώρο υπογραμμίζει μια αυξανόμενη τάση κατά την οποία το λειτουργικό σύστημα macOS γίνεται όλο και περισσότερο στόχος εγκλήματος στον κυβερνοχώρο. Αυτή η τάση οφείλεται στο γεγονός ότι οι εγκληματίες του κυβερνοχώρου αναγνωρίζουν ότι πρέπει να ενημερώσουν τα εργαλεία και τις τακτικές τους ώστε να συμπεριλάβουν την πλατφόρμα της Apple. Αυτό σημαίνει ότι ένας σημαντικός αριθμός πιθανών θυμάτων κινδυνεύει να γίνει στόχος επιτιθέμενων που έχουν προσαρμόσει τις στρατηγικές τους για να εκμεταλλευτούν τα τρωτά σημεία των συστημάτων macOS.
