TodoSwift Mac ļaunprātīga programmatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā

Tulkot uz:

Kiberdrošības pētnieki ir atklājuši jaunu macOS ļaunprātīgas programmatūras celmu, ko sauc par TodoSwift, kam ir kopīgas īpašības ar zināmām ļaunprātīgām programmām, kas saistītas ar Ziemeļkorejas hakeru grupām.

Šai lietojumprogrammai ir vairākas darbības, kas līdzīgas ļaunprātīgai programmatūrai, kas iepriekš tika attiecināta uz Ziemeļkoreju (KTDR), īpaši BlueNoroff draudu grupai, kas ir saistīta ar ļaunprātīgu programmatūru, piemēram, KANDYKORN un RustBucke . RustBucket, par kuru pirmo reizi tika ziņots 2023. gada jūlijā, ir uz AppleScript balstīta aizmugures durvis, kas paredzētas papildu lietderīgās slodzes izgūšanai no Command-and-Control (C2) servera.

Satura rādītājs

Ar Ziemeļkoreju saistīti ļaunprātīgas programmatūras draudi

Pagājušā gada beigās pētnieki atklāja citu macOS ļaunprātīgu programmatūru, kas pazīstama ar nosaukumu KANDYKORN, kas tika izmantota kiberuzbrukumā, kura mērķis bija blokķēdes inženieri nenosauktā kriptovalūtas biržā.

KANDYKORN tiek piegādāts, izmantojot sarežģītu daudzpakāpju infekcijas ķēdi, un tas ir aprīkots, lai piekļūtu datiem un izfiltrētu datus no upura datora. Turklāt tā var pārtraukt patvaļīgus procesus un izpildīt komandas resursdatora sistēmā.

Galvenā līdzība starp abām ļaunprātīgas programmatūras saimēm ir to domēnu linkpc.net izmantošana komandu un vadības (C2) darbībām. Tiek uzskatīts, ka gan RustBucket, gan KANDYKORN ir Lazarus grupas darbs, tostarp tās apakšklasteris, kas pazīstams kā BlueNoroff.

Ziemeļkoreja, izmantojot tādas grupas kā Lazarus Group, turpina vērsties pret uzņēmumiem kriptovalūtu nozarē ar mērķi iegūt kriptovalūtu, lai apietu starptautiskās sankcijas, kas ierobežo to ekonomisko izaugsmi un ambīcijas.

TodoSwift uzbrukuma ķēde

TodoSwift uzbrukumā draudu dalībnieki mērķēja uz blokķēdes inženieriem publiskā tērzēšanas serverī ar viņu prasmēm un interesēm pielāgotu vilinājumu, solot finansiālu atlīdzību.

Jaunākie atklājumi atklāj, ka TodoSwift tiek izplatīts kā parakstīts fails ar nosaukumu TodoTasks, kas satur pilinātāja komponentu. Šis komponents ir GUI lietojumprogramma, kas izveidota, izmantojot SwiftUI un kas paredzēta, lai upurim parādītu ieroču PDF dokumentu, vienlaikus slepeni lejupielādējot un izpildot otrās pakāpes bināro failu, ko izmanto arī RustBucket.

PDF lure ir labdabīgs ar Bitcoin saistīts dokuments, kas tiek mitināts Google diskā, savukārt draudīgā krava tiek izgūta no aktiera kontrolēta domēna “buy2x.com”. Šī krava ir izstrādāta, lai apkopotu sistēmas informāciju un izvietotu papildu ļaunprātīgu programmatūru.

Pēc instalēšanas ļaunprogrammatūra var apkopot informāciju par ierīci, piemēram, OS versiju un aparatūras modeli, sazināties ar Command-and-Control (C2) serveri, izmantojot API, un ierakstīt datus ierīces izpildāmā failā. Google diska URL izmantošana vilinājumam un C2 URL nosūtīšana kā palaišanas arguments otrās pakāpes binārajai sistēmai atbilst taktikai, kas tika izmantota iepriekšējās KTDR ļaunprātīgās programmatūras macOS sistēmās.