មេរោគ TodoSwift Mac

ដោយ Mezo ក្នុង មេរោគ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)

បកប្រែទៅ៖

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញមេរោគ macOS ប្រភេទថ្មីដែលមានឈ្មោះថា TodoSwift ដែលចែករំលែកលក្ខណៈជាមួយនឹងមេរោគដែលគេស្គាល់ដែលភ្ជាប់ទៅក្រុមលួចស្តាប់របស់កូរ៉េខាងជើង។

កម្មវិធីនេះបង្ហាញនូវអាកប្បកិរិយាមួយចំនួនដែលស្រដៀងទៅនឹងមេរោគដែលពីមុនត្រូវបានសន្មតថាជាកូរ៉េខាងជើង (កូរ៉េខាងជើង) ជាពិសេសក្រុមគំរាមកំហែង BlueNoroff ដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងមេរោគដូចជា KANDYKORN និង RustBucke ។ RustBucket ដែលត្រូវបានរាយការណ៍ជាលើកដំបូងនៅក្នុងខែកក្កដា ឆ្នាំ 2023 គឺជា backdoor ដែលមានមូលដ្ឋានលើ AppleScript ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកបន្ទុកបន្ថែមពីម៉ាស៊ីនមេ Command-and-Control (C2) ។

តារាងមាតិកា

ការគំរាមកំហែងមេរោគដែលភ្ជាប់ជាមួយកូរ៉េខាងជើង

កាលពីចុងឆ្នាំមុន អ្នកស្រាវជ្រាវបានរកឃើញមេរោគ macOS មួយផ្សេងទៀតដែលគេស្គាល់ថា KANDYKORN ដែលត្រូវបានប្រើក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតដែលផ្តោតលើវិស្វករ blockchain នៅឯការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូដែលមិនបញ្ចេញឈ្មោះ។

KANDYKORN ត្រូវបានបញ្ជូនតាមខ្សែសង្វាក់ឆ្លងមេរោគពហុដំណាក់កាលដ៏ស្មុគស្មាញ ហើយត្រូវបានបំពាក់ដើម្បីចូលប្រើ និងបណ្តេញទិន្នន័យចេញពីកុំព្យូទ័ររបស់ជនរងគ្រោះ។ លើសពីនេះ វាអាចបញ្ចប់ដំណើរការបំពាន និងប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធម៉ាស៊ីន។

ភាពស្រដៀងគ្នាដ៏សំខាន់រវាងគ្រួសារមេរោគទាំងពីរគឺការប្រើប្រាស់ដែន linkpc.net សម្រាប់ប្រតិបត្តិការ Command-and Control (C2)។ ទាំង RustBucket និង KANDYKORN ត្រូវបានគេជឿថាជាការងាររបស់ Lazarus Group រួមទាំងក្រុមរងរបស់ខ្លួនដែលគេស្គាល់ថា BlueNoroff ។

ប្រទេសកូរ៉េខាងជើង តាមរយៈក្រុមដូចជា Lazarus Group បន្តកំណត់គោលដៅអាជីវកម្មនៅក្នុងឧស្សាហកម្មរូបិយប័ណ្ណគ្រីបតូ ដោយមានគោលបំណងប្រមូលផលរូបិយប័ណ្ណគ្រីបតូ ដើម្បីជៀសផុតពីទណ្ឌកម្មអន្តរជាតិដែលរឹតបន្តឹងកំណើនសេដ្ឋកិច្ច និងមហិច្ឆតារបស់ពួកគេ។

ខ្សែសង្វាក់វាយប្រហារ TodoSwift

នៅក្នុងការវាយប្រហារ TodoSwift តួអង្គគម្រាមកំហែងបានកំណត់គោលដៅវិស្វករ blockchain នៅលើម៉ាស៊ីនមេជជែកសាធារណៈជាមួយនឹងការទាក់ទាញដែលតម្រូវតាមជំនាញ និងចំណាប់អារម្មណ៍របស់ពួកគេ ដោយសន្យាថានឹងទទួលបានរង្វាន់ផ្នែកហិរញ្ញវត្ថុ។

ការរកឃើញថ្មីៗបង្ហាញថា TodoSwift ត្រូវបានចែកចាយជាឯកសារដែលបានចុះហត្ថលេខាដែលមានឈ្មោះថា TodoTasks ដែលមានសមាសធាតុ dropper ។ សមាសភាគនេះគឺជាកម្មវិធី GUI ដែលបង្កើតឡើងដោយ SwiftUI ដែលរចនាឡើងដើម្បីបង្ហាញឯកសារ PDF ដែលមានអាវុធដល់ជនរងគ្រោះ ខណៈពេលដែលកំពុងទាញយក និងប្រតិបត្តិប្រព័ន្ធគោលពីរដំណាក់កាលទីពីរជាសម្ងាត់ ដែលជាបច្ចេកទេសប្រើដោយ RustBucket ផងដែរ។

PDF lure គឺជាឯកសារដែលទាក់ទងនឹង Bitcoin ស្លូតបូតដែលបង្ហោះនៅលើ Google Drive ខណៈពេលដែលបន្ទុកដែលគំរាមកំហែងត្រូវបានទាញយកពីដែនដែលគ្រប់គ្រងដោយតារាសម្តែង 'buy2x.com' ។ បន្ទុកនេះត្រូវបានបង្កើតឡើងដើម្បីប្រមូលព័ត៌មានប្រព័ន្ធ និងដាក់ពង្រាយមេរោគបន្ថែម។

នៅពេលដំឡើងរួច មេរោគអាចប្រមូលព័ត៌មានលម្អិតអំពីឧបករណ៍ ដូចជាកំណែ OS និងម៉ូដែលផ្នែករឹង ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) តាមរយៈ API និងសរសេរទិន្នន័យទៅកាន់ឯកសារដែលអាចប្រតិបត្តិបាននៅលើឧបករណ៍។ ការប្រើប្រាស់ URL របស់ Google Drive សម្រាប់ការទាក់ទាញ និងការឆ្លងកាត់ C2 URL ជាអាគុយម៉ង់ចាប់ផ្តើមទៅកាន់ប្រព័ន្ធគោលពីរដំណាក់កាលទីពីរ តម្រឹមជាមួយនឹងយុទ្ធសាស្ត្រដែលឃើញនៅក្នុងមេរោគកូរ៉េខាងជើងមុនៗដែលកំណត់គោលដៅលើប្រព័ន្ធ macOS ។