بدافزار TodoSwift Mac

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)

ترجمه به:

محققان امنیت سایبری گونه جدیدی از بدافزار macOS به نام TodoSwift را کشف کرده اند که ویژگی های مشترکی با بدافزارهای شناخته شده مرتبط با گروه های هکر کره شمالی دارد.

این برنامه چندین رفتار مشابه بدافزارهایی را نشان می‌دهد که قبلاً به کره شمالی (DPRK) نسبت داده شده بود، به‌ویژه گروه تهدید BlueNoroff که با بدافزارهایی مانند KANDYKORN و RustBucke مرتبط است. RustBucket، اولین بار در جولای 2023 گزارش شد، یک درب پشتی مبتنی بر AppleScript است که برای بازیابی بارهای اضافی از یک سرور Command-and-Control (C2) طراحی شده است.

فهرست مطالب

تهدیدات بدافزار مرتبط با کره شمالی

اواخر سال گذشته، محققان بدافزار macOS دیگری به نام KANDYKORN را کشف کردند که در یک حمله سایبری با هدف قرار دادن مهندسان بلاک چین در یک صرافی ارزهای دیجیتال ناشناس مورد استفاده قرار گرفت.

KANDYKORN از طریق یک زنجیره عفونت پیچیده چند مرحله ای تحویل داده می شود و برای دسترسی و استخراج داده ها از رایانه قربانی مجهز شده است. علاوه بر این، می تواند فرآیندهای دلخواه را خاتمه دهد و دستورات را در سیستم میزبان اجرا کند.

یک شباهت کلیدی بین دو خانواده بدافزار استفاده آنها از دامنه های linkpc.net برای عملیات Command-and Control (C2) است. اعتقاد بر این است که RustBucket و KANDYKORN هر دو کار گروه Lazarus ، از جمله زیرشاخه آن به نام BlueNoroff هستند.

کره شمالی، از طریق گروه هایی مانند گروه لازاروس، به هدف قرار دادن مشاغل در صنعت ارزهای دیجیتال با هدف برداشت ارزهای دیجیتال برای دور زدن تحریم های بین المللی که رشد اقتصادی و جاه طلبی های آنها را محدود می کند، ادامه می دهد.

زنجیره حمله TodoSwift

در حمله TodoSwift، بازیگران تهدید، مهندسان بلاک چین را در یک سرور چت عمومی با یک فریب متناسب با مهارت‌ها و علایق آنها هدف قرار دادند که نویدبخش پاداش‌های مالی بود.

یافته های اخیر نشان می دهد که TodoSwift به عنوان یک فایل امضا شده به نام TodoTasks توزیع می شود که حاوی یک جزء قطره چکان است. این مؤلفه یک برنامه رابط کاربری گرافیکی است که با SwiftUI ساخته شده است و برای ارائه یک سند PDF مسلح به قربانی در حین دانلود و اجرای مخفیانه یک باینری مرحله دوم طراحی شده است، تکنیکی که RustBucket نیز از آن استفاده می کند.

فریب PDF یک سند خوش خیم مرتبط با بیت کوین است که در Google Drive میزبانی می شود، در حالی که بار تهدید کننده از یک دامنه تحت کنترل بازیگر، 'buy2x.com' بازیابی می شود. این محموله برای جمع آوری اطلاعات سیستم و استقرار بدافزار اضافی ساخته شده است.

پس از نصب، بدافزار می‌تواند جزئیات دستگاه را جمع‌آوری کند، مانند نسخه سیستم‌عامل و مدل سخت‌افزار، با سرور Command-and-Control (C2) از طریق API ارتباط برقرار کند و داده‌ها را در یک فایل اجرایی روی دستگاه بنویسد. استفاده از URL گوگل درایو برای فریب دادن و ارسال URL C2 به عنوان آرگومان راه اندازی به مرحله دوم باینری با تاکتیک هایی که در بدافزارهای قبلی کره شمالی که سیستم های macOS را هدف قرار می دهند، همسو می شود.