RustBucket pahavara
Küberturvalisuse eksperdid on tuvastanud uudse pahavara vormi, mis on spetsiaalselt loodud MacOS-i kasutavate Apple'i seadmete sihtimiseks. Seda ähvardavat tarkvara, mida tuntakse nimega RustBucket, kasutab arenenud püsiva ohu (APT) rühmitus nimega BlueNoroff, mis arvatakse olevat tihedalt seotud kurikuulsa Lazaruse rühmaga või võib-olla isegi selle alamrühmaga.
Eelkõige on BlueNoroff varem sihtinud Windowsi-põhiseid süsteeme, kasutades pahavara, mis suutis Mark-of-the-Web turbeprotokollidest mööda hiilida. Äsja avastatud macOS-i pahavara on maskeeritud seadusliku PDF-vaaturi rakendusena nimega "Internal PDF Viewer", mis näib toimivat ootuspäraselt. Kuid tegelikkuses on see salakaval tööriist, mida kasutatakse volitamata juurdepääsu saamiseks ohustatud süsteemide tundlikele andmetele. Ohu üksikasjad avaldas mobiilseadmete haldusfirma Jamf.
Sisukord
RustBucketi macOS-i pahavara tarnitakse mitmes etapis
RustBucketi pahavara kasutab sihitud Maci seadmete nakatamiseks mitmeastmelist lähenemist. Esimene etapp on allkirjastamata rakendus nimega "Sisemine PDF-vaatur", mis laadib käivitamisel alla ründevara teise etapi Command-and-Control (C2) serverist.
Pahavara teine etapp kannab sama nime - "Sisemine PDF-vaatur", kuid seekord on see allkirjastatud rakendus, mis näeb välja nagu seaduslik Apple'i komplekti identifikaator (com.apple.pdfViewer) ja millel on ad hoc allkiri. Jagades pahavara erinevateks etappideks, muudavad ohutegurid analüüsimise keerulisemaks, eriti kui C2 server läheb võrguühenduseta.
Rikutud PDF-fail on RustBucketi infektsiooni viimane tükk
Kuid isegi selles etapis ei aktiveeri RustBucket ühtegi oma pahatahtlikku võimalust. Selle tegeliku funktsionaalsuse edukaks aktiveerimiseks rikutud macOS-seadmes tuleb avada konkreetne PDF-fail. See rikutud PDF-fail on maskeeritud üheksa-leheküljeliseks dokumendiks, mis väidetavalt sisaldab teavet riskikapitaliettevõtete kohta, kes soovivad investeerida tehnilistesse idufirmadesse.
Tegelikkuses viib faili avamine RustBucketi nakkusahela lõpule, käivitades 11,2 MB trooja, mis on samuti allkirjastatud ad-hoc allkirjaga ja kirjutatud Rust. Trooja oht võib täita mitmesuguseid pealetükkivaid funktsioone, näiteks teostada süsteemi luuret, kogudes süsteemi põhiandmeid ja hankides hetkel töötavate protsesside loendi. Samuti saadab oht ründajatele andmeid, kui see töötab virtuaalses keskkonnas.
Küberkurjategijad hakkavad macOS-i ökosüsteemiga kohanema
Pahavara kasutamine küberründajate poolt toob esile kasvava trendi, kus macOS-i operatsioonisüsteem muutub üha enam küberkuritegevuse sihtmärgiks. See suundumus on tingitud asjaolust, et küberkurjategijad mõistavad, et nad peavad oma tööriistu ja taktikaid värskendama, et kaasata Apple'i platvorm. See tähendab, et suurel hulgal potentsiaalsetel ohvritel on oht sattuda ründajate sihikule, kes on kohandanud oma strateegiaid MacOS-i süsteemide haavatavusi ära kasutama.
