TodoSwift Mac zlonamjerni softver

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine

Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su novu vrstu zlonamjernog softvera za macOS pod nazivom TodoSwift, koji dijeli karakteristike s poznatim zlonamjernim softverom povezanim sa sjevernokorejskim hakerskim skupinama.

Ova aplikacija pokazuje nekoliko ponašanja sličnih zlonamjernom softveru koji se ranije pripisivao Sjevernoj Koreji (DPRK), posebno skupini prijetnji BlueNoroff, koja je povezana sa zlonamjernim softverom kao što su KANDYKORN i RustBucke . RustBucket, prvi put prijavljen u srpnju 2023., backdoor je temeljen na AppleScriptu dizajniran za dohvaćanje dodatnih korisnih podataka s Command-and-Control (C2) poslužitelja.

Sadržaj

Prijetnje zlonamjernim softverom povezane sa Sjevernom Korejom

Krajem prošle godine, istraživači su otkrili još jedan macOS zlonamjerni softver poznat kao KANDYKORN, koji je korišten u cyber napadu usmjerenom na blockchain inženjere na neimenovanoj mjenjačnici kriptovaluta.

KANDYKORN se isporučuje kroz složeni višefazni lanac infekcije i opremljen je za pristup i izvlačenje podataka sa žrtvinog računala. Dodatno, može prekinuti proizvoljne procese i izvršiti naredbe na glavnom sustavu.

Ključna sličnost između dvije obitelji zlonamjernog softvera je njihova upotreba domena linkpc.net za operacije naredbe i kontrole (C2). Vjeruje se da su i RustBucket i KANDYKORN djelo Lazarus grupe , uključujući njen podklaster poznat kao BlueNoroff.

Sjeverna Koreja, preko grupa kao što je Lazarus Group, nastavlja ciljati na tvrtke u industriji kriptovaluta s ciljem prikupljanja kriptovalute kako bi zaobišla međunarodne sankcije koje ograničavaju njihov gospodarski rast i ambicije.

Lanac napada TodoSwift

U napadu na TodoSwift akteri prijetnje ciljali su blockchain inženjere na javnom poslužitelju za chat s mamcem prilagođenim njihovim vještinama i interesima, obećavajući financijske nagrade.

Nedavna otkrića otkrivaju da se TodoSwift distribuira kao potpisana datoteka pod nazivom TodoTasks, koja sadrži komponentu dropper. Ova komponenta je GUI aplikacija izgrađena sa SwiftUI, dizajnirana za predstavljanje PDF dokumenta s oružjem žrtvi dok tajno preuzima i izvršava binarnu datoteku druge faze, tehniku koju također koristi RustBucket.

PDF mamac benigni je dokument povezan s Bitcoinom koji se nalazi na Google Driveu, dok se prijeteći sadržaj preuzima s domene koju kontrolira akter, 'buy2x.com'. Ovaj korisni teret izrađen je za prikupljanje informacija o sustavu i postavljanje dodatnog zlonamjernog softvera.

Nakon instaliranja, zlonamjerni softver može prikupiti pojedinosti o uređaju, poput verzije OS-a i modela hardvera, komunicirati s Command-and-Control (C2) poslužiteljem putem API-ja i pisati podatke u izvršnu datoteku na uređaju. Korištenje Google Drive URL-a za mamac i prosljeđivanje C2 URL-a kao pokretačkog argumenta u binarnu datoteku drugog stupnja usklađeno je s taktikom viđenom u prethodnim zlonamjernim softverima DNRK-a koji ciljaju macOS sustave.