RustBucket 악성코드

사이버 보안 전문가들은 macOS를 실행하는 Apple 장치를 대상으로 특별히 설계된 새로운 형태의 맬웨어를 확인했습니다. RustBucket으로 알려진 이 위협적인 소프트웨어는 BlueNoroff라는 APT(Advanced Persistent Threat) 그룹에서 사용하고 있습니다. BlueNoroff는 악명 높은 Lazarus 그룹과 밀접하게 연결되어 있거나 하위 그룹일 가능성이 있는 것으로 여겨집니다.

특히 BlueNoroff는 이전에 Mark-of-the-Web 보안 프로토콜을 우회할 수 있는 맬웨어를 사용하여 Windows 기반 시스템을 표적으로 삼았습니다. 새로 발견된 macOS 맬웨어는 예상대로 작동하는 것으로 보이는 'Internal PDF Viewer'라는 합법적인 PDF 뷰어 애플리케이션으로 위장했습니다. 그러나 실제로는 손상된 시스템의 민감한 데이터에 무단으로 액세스하는 데 사용되는 교활한 도구입니다. 이 위협에 대한 자세한 내용은 모바일 장치 관리 회사인 Jamf에서 공개했습니다.

RustBucket macOS 맬웨어는 여러 단계로 전달됩니다.

RustBucket 맬웨어는 다단계 접근 방식을 사용하여 대상 Mac 장치를 감염시킵니다. 첫 번째 단계는 'Internal PDF Viewer'라는 서명되지 않은 애플리케이션으로, 실행 시 C2(Command-and-Control) 서버에서 악성코드의 두 번째 단계를 다운로드합니다.

맬웨어의 두 번째 단계는 'Internal PDF Viewer'라는 동일한 이름을 사용하지만 이번에는 합법적인 Apple 번들 식별자(com.apple.pdfViewer)처럼 보이도록 설계된 서명된 애플리케이션이며 애드혹이 있습니다. 서명. 맬웨어를 여러 단계로 나누면 공격자는 특히 C2 서버가 오프라인 상태가 되는 경우 분석하기가 더 어려워집니다.

손상된 PDF 파일은 RustBucket 감염의 마지막 조각입니다.

그러나 이 단계에서도 RustBucket은 악성 기능을 활성화하지 않습니다. 침해된 macOS 장치에서 진정한 기능을 성공적으로 활성화하려면 특정 PDF 파일을 열어야 합니다. 이 손상된 PDF 파일은 기술 스타트업에 투자하려는 벤처 캐피털 회사에 대한 정보를 포함한다고 주장하는 9페이지 문서로 위장되어 있습니다.

실제로 파일을 열면 임시 서명으로 서명되고 Rust로 작성된 11.2MB 트로이 목마 실행을 트리거하여 RustBucket 감염 체인이 완성됩니다. 트로이 목마 위협 요소는 기본 시스템 데이터를 수집하고 현재 실행 중인 프로세스 목록을 얻어 시스템 정찰을 수행하는 등 다양한 침입 기능을 수행할 수 있습니다. 또한 이 위협 요소는 가상 환경에서 실행 중인 경우 공격자에게 데이터를 보냅니다.

사이버 범죄자들이 macOS 생태계에 적응하기 시작했습니다

사이버 공격자의 맬웨어 활용은 macOS 운영 체제가 점점 더 사이버 범죄의 표적이 되고 있는 추세를 강조합니다. 이러한 추세는 사이버 범죄자들이 Apple 플랫폼을 포함하도록 도구와 전술을 업데이트해야 함을 인식하고 있다는 사실에 의해 주도됩니다. 이는 상당한 수의 잠재적 피해자가 macOS 시스템의 취약성을 악용하기 위해 전략을 조정한 공격자의 표적이 될 위험에 처해 있음을 의미합니다.