TodoSwift Mac Malware
Penyelidik keselamatan siber telah menemui jenis baru perisian hasad macOS yang dipanggil TodoSwift, yang berkongsi ciri dengan perisian hasad diketahui yang dikaitkan dengan kumpulan penggodam Korea Utara.
Aplikasi ini mempamerkan beberapa gelagat yang serupa dengan perisian hasad yang sebelum ini dikaitkan dengan Korea Utara (DPRK), terutamanya kumpulan ancaman BlueNoroff, yang dikaitkan dengan perisian hasad seperti KANDYKORN dan RustBucke . RustBucket, pertama kali dilaporkan pada Julai 2023, ialah pintu belakang berasaskan AppleScript yang direka untuk mendapatkan semula muatan tambahan daripada pelayan Command-and-Control (C2).
Isi kandungan
Ancaman Peribadi Berkaitan Korea Utara
Lewat tahun lepas, penyelidik menemui satu lagi perisian hasad macOS yang dikenali sebagai KANDYKORN, yang digunakan dalam serangan siber yang menyasarkan jurutera blockchain di bursa mata wang kripto yang tidak dinamakan.
KANDYKORN dihantar melalui rantaian jangkitan pelbagai peringkat yang kompleks dan dilengkapi untuk mengakses dan mengeluarkan data daripada komputer mangsa. Selain itu, ia boleh menamatkan proses sewenang-wenangnya dan melaksanakan arahan pada sistem hos.
Persamaan utama antara kedua-dua keluarga perisian hasad ialah penggunaan domain linkpc.net untuk operasi Command-and Control (C2). Kedua-dua RustBucket dan KANDYKORN dipercayai hasil kerja Kumpulan Lazarus , termasuk subklusternya yang dikenali sebagai BlueNoroff.
Korea Utara, melalui kumpulan seperti Kumpulan Lazarus, terus menyasarkan perniagaan dalam industri mata wang kripto dengan tujuan untuk mendapatkan mata wang kripto untuk memintas sekatan antarabangsa yang menyekat pertumbuhan ekonomi dan cita-cita mereka.
Rantaian Serangan TodoSwift
Dalam serangan TodoSwift, pelaku ancaman menyasarkan jurutera blockchain pada pelayan sembang awam dengan gewang yang disesuaikan dengan kemahiran dan minat mereka, menjanjikan ganjaran kewangan.
Penemuan terkini mendedahkan bahawa TodoSwift diedarkan sebagai fail bertandatangan bernama TodoTasks, yang mengandungi komponen penitis. Komponen ini ialah aplikasi GUI yang dibina dengan SwiftUI, direka untuk membentangkan dokumen PDF bersenjata kepada mangsa sambil secara rahsia memuat turun dan melaksanakan binari peringkat kedua, teknik yang turut digunakan oleh RustBucket.
Gewang PDF ialah dokumen berkaitan Bitcoin jinak yang dihoskan di Google Drive, manakala muatan yang mengancam diperoleh daripada domain kawalan pelakon, 'buy2x.com.' Muatan ini dibuat untuk mengumpul maklumat sistem dan menggunakan perisian hasad tambahan.
Setelah dipasang, perisian hasad boleh mengumpulkan butiran tentang peranti, seperti versi OS dan model perkakasan, berkomunikasi dengan pelayan Command-and-Control (C2) melalui API dan menulis data ke fail boleh laku pada peranti. Penggunaan URL Google Drive untuk memikat dan menghantar URL C2 sebagai hujah pelancaran kepada perduaan peringkat kedua sejajar dengan taktik yang dilihat dalam perisian hasad DPRK sebelumnya yang menyasarkan sistem macOS.
Video TodoSwift Mac Malware
Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .
