תוכנה זדונית של TodoSwift Mac

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)

לתרגם ל:

חוקרי אבטחת סייבר חשפו זן חדש של תוכנת זדונית macOS בשם TodoSwift, אשר חולקת מאפיינים עם תוכנות זדוניות ידועות המקושרות לקבוצות פריצה בצפון קוריאה.

יישום זה מציג מספר התנהגויות דומות לתוכנות זדוניות שיוחסו בעבר לצפון קוריאה (DPRK), במיוחד קבוצת האיומים BlueNoroff, הקשורה לתוכנות זדוניות כמו KANDYKORN ו- RustBucke . RustBucket, שדווח לראשונה ביולי 2023, היא דלת אחורית מבוססת AppleScript שנועדה לאחזר מטענים נוספים משרת Command-and-Control (C2).

תוכן העניינים

איומי תוכנה זדונית הקשורה לצפון קוריאה

בסוף השנה שעברה, חוקרים גילו תוכנה זדונית נוספת של macOS הידועה בשם KANDYKORN, אשר שימשה בהתקפת סייבר המכוונת למהנדסי בלוקצ'יין בבורסת מטבעות קריפטוגרפיים ללא שם.

KANDYKORN מועברת דרך שרשרת הדבקה רב-שלבית מורכבת ומצוידת לגישה והוצאת נתונים מהמחשב של הקורבן. בנוסף, הוא יכול לסיים תהליכים שרירותיים ולבצע פקודות במערכת המארחת.

דמיון מרכזי בין שתי משפחות התוכנות הזדוניות הוא השימוש שלהן בדומיינים של linkpc.net עבור פעולות Command-and Control (C2). מאמינים שגם RustBucket וגם KANDYKORN הם העבודה של קבוצת Lazarus , כולל תת-האשכול שלה הידוע בשם BlueNoroff.

צפון קוריאה, באמצעות קבוצות כמו Lazarus Group, ממשיכה לכוון לעסקים בתעשיית המטבעות הקריפטוגרפיים במטרה לאסוף מטבעות קריפטוגרפיים כדי לעקוף סנקציות בינלאומיות המגבילות את הצמיחה והשאיפות הכלכליות שלהם.

שרשרת התקפה של TodoSwift

במתקפת TodoSwift, שחקני האיום כוונו למהנדסי בלוקצ'יין בשרת צ'אט ציבורי עם פיתוי המותאם לכישוריהם ולתחומי העניין שלהם, והבטיחו תגמולים כספיים.

ממצאים אחרונים חושפים כי TodoSwift מופץ כקובץ חתום בשם TodoTasks, המכיל רכיב טפטפת. רכיב זה הוא יישום GUI שנבנה עם SwiftUI, שנועד להציג לקורבן מסמך PDF בעל נשק תוך הורדה וביצוע בסתר בינארי שלב שני, טכניקה המשמשת גם RustBucket.

פיתוי ה-PDF הוא מסמך שפיר הקשור לביטקוין המתארח ב-Google Drive, בעוד המטען המאיים מאוחזר מדומיין הנשלט על ידי שחקן, 'buy2x.com'. מטען זה נועד לאסוף מידע מערכת ולפרוס תוכנות זדוניות נוספות.

לאחר ההתקנה, התוכנה הזדונית יכולה לאסוף פרטים על המכשיר, כגון גרסת מערכת ההפעלה ודגם החומרה, לתקשר עם שרת Command-and-Control (C2) באמצעות API, ולכתוב נתונים לקובץ הפעלה במכשיר. השימוש ב-URL של Google Drive עבור הפיתוי והעברת כתובת ה-C2 כארגומנט השקה לשלב השני הבינארי מתיישב עם הטקטיקות שנראו במערכות זדוניות קודמות של DPRK המתמקדות במערכות macOS.