TodoSwift Mac Malware

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)

Przetłumacz na:

Badacze zajmujący się cyberbezpieczeństwem odkryli nowy szczep złośliwego oprogramowania dla systemu macOS o nazwie TodoSwift. Ma on cechy wspólne ze znanym złośliwym oprogramowaniem powiązanym z północnokoreańskimi grupami hakerskimi.

Ta aplikacja wykazuje kilka zachowań podobnych do złośliwego oprogramowania wcześniej przypisywanego Korei Północnej (KRLD), w szczególności grupy zagrożeń BlueNoroff, która jest powiązana ze złośliwym oprogramowaniem, takim jak KANDYKORN i RustBucke . RustBucket, zgłoszony po raz pierwszy w lipcu 2023 r., to oparte na AppleScript tylne wejście zaprojektowane w celu pobierania dodatkowych ładunków z serwera Command-and-Control (C2).

Spis treści

Zagrożenia związane ze złośliwym oprogramowaniem powiązane z Koreą Północną

Pod koniec ubiegłego roku badacze odkryli kolejne złośliwe oprogramowanie na system macOS, znane jako KANDYKORN, które zostało wykorzystane w cyberataku wymierzonym w inżynierów blockchain na nienazwanej giełdzie kryptowalut.

KANDYKORN jest dostarczany za pośrednictwem złożonego wieloetapowego łańcucha infekcji i jest wyposażony w dostęp do danych i ich eksfiltrację z komputera ofiary. Ponadto może kończyć dowolne procesy i wykonywać polecenia w systemie hosta.

Kluczowym podobieństwem między dwiema rodzinami malware jest wykorzystanie domen linkpc.net do operacji Command-and-Control (C2). Uważa się, że zarówno RustBucket, jak i KANDYKORN są dziełem grupy Lazarus , w tym jej podklastry znanej jako BlueNoroff.

Korea Północna, za pośrednictwem grup takich jak Lazarus Group, nadal atakuje przedsiębiorstwa z branży kryptowalut, mając na celu gromadzenie kryptowalut i omijanie międzynarodowych sankcji, które ograniczają ich wzrost gospodarczy i ambicje.

TodoSwift łańcuch ataków

W ataku TodoSwift atakujący wzięli na cel inżynierów blockchain na publicznym serwerze czatów, oferując im przynętę dostosowaną do ich umiejętności i zainteresowań, obiecując im korzyści finansowe.

Ostatnie odkrycia ujawniają, że TodoSwift jest dystrybuowany jako podpisany plik o nazwie TodoTasks, który zawiera komponent droppera. Ten komponent to aplikacja GUI zbudowana przy użyciu SwiftUI, zaprojektowana w celu przedstawienia ofierze dokumentu PDF z bronią podczas tajnego pobierania i wykonywania pliku binarnego drugiego etapu, techniki stosowanej również przez RustBucket.

Przynętą w formacie PDF jest nieszkodliwy dokument związany z Bitcoinem, umieszczony na Dysku Google, natomiast niebezpieczny ładunek pobierany jest z kontrolowanej przez aktora domeny „buy2x.com”. Ładunek ten ma na celu zbieranie informacji o systemie i wdrażanie dodatkowego złośliwego oprogramowania.

Po zainstalowaniu złośliwe oprogramowanie może zbierać dane o urządzeniu, takie jak wersja systemu operacyjnego i model sprzętu, komunikować się z serwerem Command-and-Control (C2) za pośrednictwem interfejsu API i zapisywać dane do pliku wykonywalnego na urządzeniu. Wykorzystanie adresu URL Dysku Google jako przynęty i przekazanie adresu URL C2 jako argumentu uruchomienia do pliku binarnego drugiego etapu jest zgodne z taktyką obserwowaną w poprzednim złośliwym oprogramowaniu DPRK atakującym systemy macOS.