TodoSwift Mac-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)

Vertalen naar:

Cybersecurityonderzoekers hebben een nieuwe variant van de macOS-malware ontdekt, genaamd TodoSwift. Deze variant vertoont overeenkomsten met bekende malware die verband houdt met Noord-Koreaanse hackersgroepen.

Deze applicatie vertoont verschillende gedragingen die lijken op malware die eerder werd toegeschreven aan Noord-Korea (DPRK), met name de BlueNoroff-dreigingsgroep, die wordt geassocieerd met malware zoals KANDYKORN en RustBucke . RustBucket, voor het eerst gemeld in juli 2023, is een op AppleScript gebaseerde backdoor die is ontworpen om extra payloads op te halen van een Command-and-Control (C2)-server.

Inhoudsopgave

Malware-bedreigingen met betrekking tot Noord-Korea

Eind vorig jaar ontdekten onderzoekers een andere macOS-malware, bekend als KANDYKORN, die werd gebruikt in een cyberaanval gericht op blockchain-ingenieurs bij een anonieme cryptobeurs.

KANDYKORN wordt geleverd via een complexe multi-stage infectieketen en is uitgerust om toegang te krijgen tot en data te exfiltreren van de computer van het slachtoffer. Daarnaast kan het willekeurige processen beëindigen en opdrachten uitvoeren op het hostsysteem.

Een belangrijke overeenkomst tussen de twee malwarefamilies is hun gebruik van linkpc.net-domeinen voor Command-and-Control (C2)-bewerkingen. Zowel RustBucket als KANDYKORN worden verondersteld het werk te zijn van de Lazarus Group , inclusief de subcluster die bekendstaat als BlueNoroff.

Noord-Korea blijft, via groepen als de Lazarus Group, bedrijven in de cryptovalutasector aanvallen met als doel om cryptovaluta te verzamelen en zo internationale sancties te omzeilen die hun economische groei en ambities beperken.

TodoSwift-aanvalsketen

Bij de TodoSwift-aanval richtten de aanvallers zich op blockchain-engineers op een openbare chatserver met een lokaas dat was afgestemd op hun vaardigheden en interesses. Ze beloofden financiële beloningen.

Recente bevindingen onthullen dat TodoSwift wordt gedistribueerd als een ondertekend bestand met de naam TodoTasks, dat een droppercomponent bevat. Deze component is een GUI-applicatie die is gebouwd met SwiftUI, ontworpen om een gewapend PDF-document aan het slachtoffer te presenteren terwijl in het geheim een binair bestand van de tweede fase wordt gedownload en uitgevoerd, een techniek die ook door RustBucket wordt gebruikt.

Het PDF-bestand is een onschuldig Bitcoin-gerelateerd document dat gehost wordt op Google Drive, terwijl de bedreigende payload wordt opgehaald van een door de actor beheerd domein, 'buy2x.com'. Deze payload is ontworpen om systeemgegevens te verzamelen en aanvullende malware te verspreiden.

Eenmaal geïnstalleerd, kan de malware details over het apparaat verzamelen, zoals de OS-versie en het hardwaremodel, communiceren met de Command-and-Control (C2)-server via API en gegevens naar een uitvoerbaar bestand op het apparaat schrijven. Het gebruik van een Google Drive-URL voor de lokker en het doorgeven van de C2-URL als een startargument aan het binaire bestand in de tweede fase, komt overeen met tactieken die werden gezien in eerdere DPRK-malware die gericht was op macOS-systemen.