TodoSwift Maci pahavara

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)

Tõlgi:

Küberturbeteadlased on avastanud MacOS-i pahavara uue tüve nimega TodoSwift, millel on ühised omadused tuntud pahavaraga, mis on seotud Põhja-Korea häkkimisgruppidega.

Sellel rakendusel on mitu käitumist, mis sarnaneb varem Põhja-Koreale (KRDV) omistatud pahavaraga, eriti BlueNoroffi ohugrupp, mis on seotud pahavaraga nagu KANDYKORN ja RustBucke . RustBucket, millest esmakordselt teatati 2023. aasta juulis, on AppleScriptil põhinev tagauks, mis on loodud käsu-and-juhtimise (C2) serverist täiendava kasuliku koormuse hankimiseks.

Sisukord

Põhja-Koreaga seotud pahavara ohud

Eelmise aasta lõpus avastasid teadlased veel ühe macOS-i pahavara, mida tuntakse nimega KANDYKORN, mida kasutati küberrünnakus, mis oli suunatud plokiahela inseneridele nimetamata krüptovaluutabörsil.

KANDYKORN tarnitakse keerulise mitmeastmelise nakkusahela kaudu ning see on varustatud ohvri arvutist andmetele juurde pääsemiseks ja andmete väljafiltreerimiseks. Lisaks võib see lõpetada suvalised protsessid ja käivitada käske hostsüsteemis.

Peamine sarnasus kahe pahavaraperekonna vahel on linkpc.net domeenide kasutamine Command-and Control (C2) toimingute jaoks. Arvatakse, et nii RustBucket kui ka KANDYKORN on Lazarus Groupi töö, sealhulgas selle alamklastri nimega BlueNoroff.

Põhja-Korea sihib selliste kontsernide kaudu nagu Lazarus Group jätkuvalt krüptovaluutatööstuse ettevõtteid eesmärgiga koguda krüptoraha, et minna mööda rahvusvahelistest sanktsioonidest, mis piiravad nende majanduskasvu ja ambitsioone.

TodoSwifti rünnakukett

TodoSwifti rünnakus võtsid ohus osalejad sihikule plokiahela insenerid avalikus vestlusserveris nende oskustele ja huvidele kohandatud peibutusvahendiga, lubades rahalisi hüvesid.

Hiljutised leiud näitavad, et TodoSwift levitatakse allkirjastatud failina nimega TodoTasks, mis sisaldab tilgutikomponenti. See komponent on SwiftUI-ga loodud GUI-rakendus, mis on loodud ohvrile relvastatud PDF-dokumendi esitamiseks, samal ajal laadides salaja alla ja käivitades teise etapi binaarfaili. Seda tehnikat kasutab ka RustBucket.

PDF-i peibutis on healoomuline Bitcoiniga seotud dokument, mida majutatakse Google Drive'is, samas kui ähvardav kasulik koormus hangitakse näitleja kontrollitud domeenilt "buy2x.com". See kasulik koormus on loodud süsteemiteabe kogumiseks ja täiendava pahavara juurutamiseks.

Pärast installimist saab pahavara koguda seadme kohta üksikasju, nagu OS-i versioon ja riistvaramudel, suhelda API kaudu Command-and-Control (C2) serveriga ja kirjutada andmeid seadmes käivitatavasse faili. Google Drive'i URL-i kasutamine peibutis ja C2 URL-i edastamine käivitusargumendina teise astme binaarfailile ühtib taktikaga, mida kasutati varasemates MacOS-i süsteeme sihtides KRDV pahavara puhul.