„RustBucket“ kenkėjiška programa
Kibernetinio saugumo ekspertai nustatė naują kenkėjiškų programų formą, kuri yra specialiai sukurta „Apple“ įrenginiams, kuriuose veikia „MacOS“. Šią grėsmę keliančią programinę įrangą, žinomą kaip „RustBucket“, naudoja pažangiosios nuolatinės grėsmės (APT) grupė, vadinama „BlueNoroff“, kuri, kaip manoma, yra glaudžiai susijusi su liūdnai pagarsėjusia Lazarus grupe arba galbūt netgi yra jos pogrupis.
Pažymėtina, kad „BlueNoroff“ anksčiau taikėsi į „Windows“ pagrįstas sistemas, naudodamas kenkėjiškas programas, kurios galėjo apeiti „Mark-of-the-Web“ saugos protokolus. Naujai aptikta „MacOS“ kenkėjiška programa yra užmaskuota kaip teisėta PDF peržiūros programa, vadinama „Vidine PDF peržiūros programa“, kuri veikia taip, kaip tikėtasi. Tačiau iš tikrųjų tai yra klastingas įrankis, naudojamas norint gauti neteisėtą prieigą prie jautrių duomenų pažeistose sistemose. Išsamią informaciją apie grėsmę paskelbė mobiliųjų įrenginių valdymo įmonė „Jamf“.
Turinys
„RustBucket macOS“ kenkėjiška programa pristatoma keliais etapais
Kenkėjiška „RustBucket“ programa naudoja kelių etapų metodą, kad užkrėstų tikslinius „Mac“ įrenginius. Pirmasis etapas yra nepasirašyta programa, vadinama „Vidine PDF peržiūros programa“, kuri, kai ji vykdoma, atsisiunčia antrąjį kenkėjiškos programos etapą iš komandų ir valdymo (C2) serverio.
Antrasis kenkėjiškos programos etapas pavadintas tuo pačiu pavadinimu – „Vidinė PDF peržiūros priemonė“, tačiau šį kartą tai pasirašyta programa, sukurta taip, kad atrodytų kaip teisėtas „Apple“ paketo identifikatorius (com.apple.pdfViewer) ir turi ad hoc funkciją. parašas. Padalydami kenkėjišką programą į skirtingus etapus, grėsmės veikėjai apsunkina analizę, ypač jei C2 serveris atsijungia neprisijungus.
Sugadintas PDF failas yra paskutinė „RustBucket“ infekcijos dalis
Tačiau net ir šiame etape „RustBucket“ nesuaktyvins jokių savo kenkėjiškų galimybių. Norint sėkmingai suaktyvinti tikrąsias jo funkcijas pažeistame „MacOS“ įrenginyje, reikia atidaryti konkretų PDF failą. Šis sugadintas PDF failas yra užmaskuotas kaip devynių puslapių dokumentas, kuriame neva yra informacijos apie rizikos kapitalo įmones, siekiančias investuoti į techninius startuolius.
Tiesą sakant, atidarius failą, RustBucket užkrėtimo grandinė bus baigta, nes bus paleistas 11,2 MB Trojos arklys, kuris taip pat yra pasirašytas ad hoc parašu ir parašytas Rust. Trojos grėsmė gali atlikti įvairias įkyrias funkcijas, pavyzdžiui, atlikti sistemos žvalgybą renkant pagrindinius sistemos duomenis ir gaunant šiuo metu vykdomų procesų sąrašą. Grėsmė taip pat siunčia duomenis užpuolikams, jei ji veikia virtualioje aplinkoje.
Kibernetiniai nusikaltėliai pradeda prisitaikyti prie „macOS“ ekosistemos
Kibernetinių užpuolikų naudojimasis kenkėjiškomis programomis išryškina augančią tendenciją, kai „macOS“ operacinė sistema vis dažniau tampa kibernetinių nusikaltimų taikiniu. Šią tendenciją lemia tai, kad kibernetiniai nusikaltėliai pripažįsta, kad jiems reikia atnaujinti savo įrankius ir taktiką, kad įtrauktų Apple platformą. Tai reiškia, kad daugybei potencialių aukų gresia pavojus, kad juos taikysis užpuolikai, kurie pritaikė savo strategijas, kad išnaudotų „macOS“ sistemų pažeidžiamumą.
