RustBucket haittaohjelma
Kyberturvallisuusasiantuntijat ovat tunnistaneet uudenlaisen haittaohjelmamuodon, joka on erityisesti suunniteltu kohdistamaan Applen macOS-laitteita käyttäviin laitteisiin. Tätä uhkaavaa ohjelmistoa, joka tunnetaan nimellä RustBucket, käyttää kehittynyt jatkuva uhka (APT) -ryhmä nimeltä BlueNoroff, jonka uskotaan liittyvän läheisesti pahamaineiseen Lazarus -ryhmään tai mahdollisesti jopa sen alaryhmään.
Erityisesti BlueNoroff on aiemmin kohdistanut Windows-pohjaisiin järjestelmiin käyttämällä haittaohjelmia, jotka pystyivät kiertämään Mark-of-the-Web-suojausprotokollat. Äskettäin löydetty macOS-haittaohjelma on naamioitu lailliseksi PDF-katseluohjelmaksi nimeltä "Internal PDF Viewer", joka näyttää toimivan odotetusti. Todellisuudessa se on kuitenkin salakavala työkalu, jolla päästään luvatta käsiksi arkaluontoisiin tietoihin vaarantuneissa järjestelmissä. Mobiililaitteiden hallintayhtiö Jamf julkaisi tiedot uhasta.
Sisällysluettelo
RustBucket macOS -haittaohjelma toimitetaan useissa vaiheissa
RustBucket-haittaohjelma käyttää monivaiheista lähestymistapaa tartuttaakseen kohdennetut Mac-laitteet. Ensimmäinen vaihe on allekirjoittamaton sovellus nimeltä "Internal PDF Viewer", joka suorituksen jälkeen lataa haittaohjelman toisen vaiheen Command-and-Control (C2) -palvelimelta.
Haittaohjelman toisella vaiheella on sama nimi - "Sisäinen PDF-katseluohjelma", mutta tällä kertaa se on allekirjoitettu sovellus, joka on suunniteltu näyttämään lailliselta Applen pakettitunnisteelta (com.apple.pdfViewer) ja jossa on ad hoc -ominaisuus. allekirjoitus. Jakamalla haittaohjelman eri vaiheisiin uhkatoimijat vaikeuttavat analysointia, varsinkin jos C2-palvelin menee offline-tilaan.
Vioittunut PDF-tiedosto on RustBucket-infektion viimeinen osa
RustBucket ei kuitenkaan vielä tässä vaiheessa aktivoi mitään haitallisia ominaisuuksiaan. Jotta sen todelliset toiminnot voidaan aktivoida onnistuneesti rikotussa macOS-laitteessa, on avattava tietty PDF-tiedosto. Tämä vioittunut PDF-tiedosto on naamioitu yhdeksänsivuiseksi asiakirjaksi, jonka väitetään sisältävän tietoa riskipääomayrityksistä, jotka haluavat sijoittaa teknisiin startup-yrityksiin.
Todellisuudessa tiedoston avaaminen täydentää RustBucket-tartuntaketjun käynnistämällä 11,2 Mt:n troijalaisen, joka on myös allekirjoitettu tilapäisellä allekirjoituksella ja kirjoitettu Rust-kielellä. Troijalainen uhka voi suorittaa erilaisia häiritseviä toimintoja, kuten suorittaa järjestelmän tiedustelua keräämällä järjestelmän perustietoja ja hankkimalla luettelon käynnissä olevista prosesseista. Uhka lähettää tietoja myös hyökkääjille, jos se toimii virtuaaliympäristössä.
Kyberrikolliset alkavat mukautua macOS-ekosysteemiin
Haittaohjelmien hyödyntäminen kyberhyökkääjien toimesta korostaa kasvavaa trendiä, jossa macOS-käyttöjärjestelmästä on tulossa yhä enemmän kyberrikollisuuden kohde. Tätä suuntausta ohjaa se tosiasia, että kyberrikolliset ymmärtävät, että heidän on päivitettävä työkalunsa ja taktiikkansa sisällyttääkseen Apple-alustan. Tämä tarkoittaa, että huomattava määrä mahdollisia uhreja on vaarassa joutua hyökkääjien kohteena, jotka ovat mukauttaneet strategioitaan hyödyntääkseen macOS-järjestelmien haavoittuvuuksia.
