TodoSwift Mac -haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT)

Käännä:

Kyberturvallisuustutkijat ovat löytäneet MacOS-haittaohjelmasta uuden TodoSwift-haittaohjelman, jolla on samat ominaisuudet kuin tunnetuilla haittaohjelmilla, jotka liittyvät Pohjois-Korean hakkerointiryhmiin.

Tässä sovelluksessa on useita käyttäytymismalleja, jotka ovat samankaltaisia kuin aiemmin Pohjois-Korean (Korean demokraattinen kansantasavalta) katsottujen haittaohjelmien, erityisesti BlueNoroff-uhkaryhmä, joka liittyy haittaohjelmiin, kuten KANDYKORN ja RustBucke . RustBucket, josta ilmoitettiin ensimmäisen kerran heinäkuussa 2023, on AppleScript-pohjainen takaovi, joka on suunniteltu hakemaan lisähyötykuormia Command-and-Control (C2) -palvelimelta.

Sisällysluettelo

Pohjois-Koreaan liittyvät haittaohjelmauhat

Viime vuoden lopulla tutkijat löysivät toisen macOS-haittaohjelman, joka tunnetaan nimellä KANDYKORN, jota käytettiin kyberhyökkäyksessä, joka kohdistui lohkoketjuinsinööreihin nimettömässä kryptovaluuttapörssissä.

KANDYKORN toimitetaan monimutkaisen monivaiheisen infektioketjun kautta, ja se on varustettu pääsyyn ja tietojen poistamiseen uhrin tietokoneesta. Lisäksi se voi lopettaa mielivaltaisia prosesseja ja suorittaa komentoja isäntäjärjestelmässä.

Keskeinen samankaltaisuus näiden kahden haittaohjelmaperheen välillä on linkpc.net-verkkotunnusten käyttö Command-and Control (C2) -toimintoihin. Sekä RustBucketin että KANDYKORNin uskotaan olevan Lazarus Groupin työtä, mukaan lukien sen BlueNoroff-niminen aliklusteri.

Pohjois-Korea jatkaa Lazarus Groupin kaltaisten ryhmien kautta kryptovaluuttateollisuuden yrityksiä tavoitteenaan kerätä kryptovaluuttoja ohittaakseen niiden talouskasvua ja tavoitteita rajoittavat kansainväliset pakotteet.

TodoSwift-hyökkäysketju

TodoSwift-hyökkäyksessä uhkatoimijat hyökkäsivät lohkoketjuinsinöörit julkisella chat-palvelimella heidän taitojensa ja kiinnostuksen kohteidensa mukaan räätälöidyllä houkutuksella, lupaamalla taloudellisia palkintoja.

Viimeaikaiset havainnot paljastavat, että TodoSwift jaetaan allekirjoitettuna tiedostona nimeltä TodoTasks, joka sisältää dropper-komponentin. Tämä komponentti on SwiftUI:lla rakennettu GUI-sovellus, joka on suunniteltu esittämään aseistettu PDF-dokumentti uhrille samalla kun se lataa ja suorittaa salaa toisen vaiheen binaaria, tekniikkaa, jota myös RustBucket käyttää.

PDF-viehe on hyvänlaatuinen Bitcoiniin liittyvä asiakirja, jota isännöidään Google Drivessa, kun taas uhkaava hyötykuorma haetaan toimijan ohjaamasta verkkotunnuksesta "buy2x.com". Tämä hyötykuorma on suunniteltu keräämään järjestelmätietoja ja lisäämään haittaohjelmia.

Asennuksen jälkeen haittaohjelma voi kerätä tietoja laitteesta, kuten käyttöjärjestelmäversion ja laitteistomallin, kommunikoida Command-and-Control (C2) -palvelimen kanssa API:n kautta ja kirjoittaa tietoja laitteeseen suoritettavaan tiedostoon. Google Drive -URL-osoitteen käyttäminen vieheessä ja C2-URL-osoitteen välittäminen käynnistysargumenttina toisen vaiheen binääriin on linjassa aiemmissa macOS-järjestelmiin kohdistetuissa Korean demokraattisen kansantasavallan haittaohjelmissa havaittujen taktiikoiden kanssa.