Kenkėjiška programa „TodoSwift Mac“.

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)

Versti į:

Kibernetinio saugumo tyrėjai atskleidė naują „MacOS“ kenkėjiškos programos atmainą, pavadintą „TodoSwift“, kuri turi panašių savybių kaip žinomos kenkėjiškos programos, susijusios su Šiaurės Korėjos įsilaužimo grupėmis.

Ši programa rodo keletą veiksmų, panašių į kenkėjiškas programas, anksčiau priskirtas Šiaurės Korėjai (KLDR), ypač BlueNoroff grėsmių grupei, kuri yra susijusi su kenkėjiškomis programomis, tokiomis kaip KANDYKORN ir RustBucke . „RustBucket“, apie kurį pirmą kartą pranešta 2023 m. liepos mėn., yra „AppleScript“ pagrindu sukurtos užpakalinės durys, skirtos papildomoms naudingosioms apkrovoms gauti iš komandų ir valdymo (C2) serverio.

Turinys

Su Šiaurės Korėja susijusios kenkėjiškos programos grėsmės

Praėjusių metų pabaigoje mokslininkai atrado kitą „MacOS“ kenkėjišką programą, žinomą kaip KANDYKORN, kuri buvo panaudota kibernetinėje atakoje, nukreiptoje į „blockchain“ inžinierius neįvardytoje kriptovaliutų biržoje.

KANDYKORN pristatomas per sudėtingą daugiapakopę infekcijos grandinę ir yra aprūpinta prieiga prie aukos kompiuterio duomenų bei juos išfiltruoja. Be to, jis gali nutraukti savavališkus procesus ir vykdyti komandas pagrindinėje sistemoje.

Pagrindinis dviejų kenkėjiškų programų šeimų panašumas yra jų linkpc.net domenų naudojimas komandų ir valdymo (C2) operacijoms. Manoma, kad „RustBucket“ ir „KANDYKORN“ yra „ Lazarus Group“ , įskaitant jos poklasį, žinomą kaip „BlueNoroff“, darbas.

Šiaurės Korėja per tokias grupes kaip „Lazarus Group“ ir toliau taikosi į kriptovaliutų pramonės įmones, siekdama surinkti kriptovaliutą, kad apeitų tarptautines sankcijas, ribojančias jų ekonomikos augimą ir ambicijas.

„TodoSwift“ atakos grandinė

„TodoSwift“ atakos metu grėsmės veikėjai nusitaikė į „blockchain“ inžinierius viešajame pokalbių serveryje, naudodami jų įgūdžius ir pomėgius pritaikytą vilionę, žadėdami finansinį atlygį.

Naujausi rezultatai rodo, kad TodoSwift platinamas kaip pasirašytas failas pavadinimu TodoTasks, kuriame yra lašintuvo komponentas. Šis komponentas yra GUI programa, sukurta naudojant „SwiftUI“, skirta pateikti aukai ginkluotą PDF dokumentą, slapta atsisiunčiant ir vykdant antrosios pakopos dvejetainį failą – techniką, kurią taip pat naudoja „RustBucket“.

PDF masalas yra su Bitcoin susijęs nepiktybinis dokumentas, talpinamas „Google“ diske, o grėsmingas krovinys paimamas iš veikėjo valdomo domeno „buy2x.com“. Šis naudingasis krovinys sukurtas rinkti sistemos informaciją ir įdiegti papildomą kenkėjišką programą.

Įdiegta kenkėjiška programa gali rinkti informaciją apie įrenginį, pvz., OS versiją ir aparatinės įrangos modelį, susisiekti su komandų ir valdymo (C2) serveriu per API ir įrašyti duomenis į vykdomąjį failą įrenginyje. „Google“ disko URL naudojimas viliojimui ir C2 URL perdavimas kaip paleidimo argumentas antrosios pakopos dvejetainei sistemai atitinka ankstesnių KLDR kenkėjiškų programų, taikomų MacOS sistemoms, taktiką.