TodoSwift Mac Malware

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben

Fordítás ide:

A kiberbiztonsági kutatók felfedezték a macOS rosszindulatú program egy új törzsét, a TodoSwiftet, amely megegyezik az észak-koreai hackercsoportokhoz kapcsolódó ismert kártevőkkel.

Ez az alkalmazás számos, a korábban Észak-Koreának (KNDK) tulajdonított rosszindulatú programokhoz hasonló viselkedést mutat, különösen a BlueNoroff fenyegetéscsoportot, amely olyan rosszindulatú programokhoz kapcsolódik, mint a KANDYKORN és a RustBucke . A RustBucket, amelyről először 2023 júliusában számoltak be, egy AppleScript-alapú hátsó ajtó, amelyet arra terveztek, hogy további hasznos terheket töltsön le egy Command-and-Control (C2) szerverről.

Tartalomjegyzék

Észak-Koreához kapcsolódó rosszindulatú programok

A múlt év végén a kutatók egy másik, KANDYKORN néven ismert macOS-malware-t fedeztek fel, amelyet egy meg nem nevezett kriptovaluta-tőzsde blokklánc-mérnökeit célzó kibertámadás során használtak.

A KANDYKORN egy összetett, többlépcsős fertőzési láncon keresztül érkezik, és fel van szerelve arra, hogy hozzáférjen az áldozat számítógépéhez, és kiszűrje az adatokat. Ezenkívül tetszőleges folyamatokat is leállíthat, és parancsokat hajthat végre a gazdagépen.

Legfontosabb hasonlóság a két rosszindulatú programcsalád között, hogy a linkpc.net tartományokat használják a Command-and Control (C2) műveletekhez. Úgy gondolják, hogy mind a RustBucket, mind a KANDYKORN a Lazarus Group munkája, beleértve a BlueNoroff néven ismert alklaszterét.

Észak-Korea az olyan csoportokon keresztül, mint a Lazarus Group, továbbra is a kriptovaluta-iparban tevékenykedő vállalkozásokat célozza meg azzal a céllal, hogy kriptovalutát gyűjtsön be, hogy megkerülje a gazdasági növekedésüket és ambícióikat korlátozó nemzetközi szankciókat.

TodoSwift támadási lánc

A TodoSwift támadásban a fenyegetés szereplői a blokklánc-mérnököket célozták meg egy nyilvános chat-szerveren a képességeikhez és érdeklődési körükhöz szabott csalival, anyagi jutalmat ígérve.

A legújabb eredmények azt mutatják, hogy a TodoSwift egy aláírt, TodoTasks nevű fájlként kerül terjesztésre, amely egy dropper komponenst tartalmaz. Ez az összetevő egy SwiftUI-val épített grafikus felhasználói felület, amelyet arra terveztek, hogy fegyveres PDF-dokumentumot mutasson be az áldozatnak, miközben titkosan letölti és végrehajtja a második fokozatú bináris fájlt, ezt a technikát a RustBucket is használja.

A PDF csali egy jóindulatú, Bitcoinhoz kapcsolódó dokumentum, amelyet a Google Drive-on tárolnak, míg a fenyegető rakományt a szereplők által vezérelt domainről, a „buy2x.com”-ról kérik le. Ez a rakomány rendszerinformációk gyűjtésére és további rosszindulatú programok telepítésére készült.

A telepítést követően a kártevő részleteket gyűjthet az eszközről, például az operációs rendszer verzióját és a hardver modelljét, API-n keresztül kommunikálhat a Command-and-Control (C2) szerverrel, és adatokat írhat egy végrehajtható fájlba az eszközön. A Google Drive URL-cím használata a csaliként és a C2 URL indítási argumentumként való átadása a második szakasz binárisnak, összhangban van a korábbi, macOS rendszereket célzó KNDK-s rosszindulatú programokban látott taktikával.