Škodlivý softvér TodoSwift Mac

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)

Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili nový kmeň malvéru macOS s názvom TodoSwift, ktorý zdieľa charakteristiky so známym malvérom spojeným so severokórejskými hackerskými skupinami.

Táto aplikácia vykazuje niekoľko správaní podobných malvéru, ktorý sa predtým pripisoval Severnej Kórei (KĽDR), najmä skupine hrozieb BlueNoroff, ktorá je spojená s malvérom ako KANDYKORN a RustBucke . RustBucket, prvýkrát ohlásený v júli 2023, je zadné vrátka založené na AppleScripte, ktoré je určené na získavanie ďalších užitočných dát zo servera Command-and-Control (C2).

Obsah

Malvérové hrozby súvisiace so Severnou Kóreou

Koncom minulého roka vedci objavili ďalší malvér pre macOS známy ako KANDYKORN, ktorý bol použitý pri kybernetickom útoku zameranom na blockchainových inžinierov na nemenovanej burze kryptomien.

KANDYKORN sa dodáva prostredníctvom komplexného viacstupňového infekčného reťazca a je vybavený na prístup k údajom z počítača obete a ich exfiltráciu. Okrem toho môže ukončiť ľubovoľné procesy a vykonávať príkazy na hostiteľskom systéme.

Kľúčovou podobnosťou medzi týmito dvoma rodinami malvéru je použitie domén linkpc.net na operácie Command-and Control (C2). Verí sa, že RustBucket aj KANDYKORN sú dielom skupiny Lazarus , vrátane jej podskupiny známej ako BlueNoroff.

Severná Kórea sa prostredníctvom skupín, ako je Lazarus Group, naďalej zameriava na podniky v odvetví kryptomien s cieľom získať kryptomeny, aby obišla medzinárodné sankcie, ktoré obmedzujú ich ekonomický rast a ambície.

Útočný reťazec TodoSwift

V útoku TodoSwift sa aktéri hrozby zamerali na blockchainových inžinierov na verejnom chatovacom serveri s návnadou prispôsobenou ich schopnostiam a záujmom a sľubovali finančné odmeny.

Nedávne zistenia ukazujú, že TodoSwift je distribuovaný ako podpísaný súbor s názvom TodoTasks, ktorý obsahuje komponent dropper. Tento komponent je GUI aplikácia vytvorená pomocou SwiftUI, navrhnutá tak, aby obeti prezentovala zbraňový dokument PDF a zároveň tajne sťahovala a spúšťala binárny súbor druhej fázy, čo je technika, ktorú používa aj RustBucket.

Návnada vo formáte PDF je neškodný dokument súvisiaci s bitcoinmi, ktorý je hosťovaný na Disku Google, pričom hrozivý obsah sa získava z domény „buy2x.com“, ktorú kontroluje aktér. Toto užitočné zaťaženie je vytvorené na zhromažďovanie systémových informácií a nasadenie ďalšieho škodlivého softvéru.

Po nainštalovaní môže malvér zhromažďovať podrobnosti o zariadení, ako je verzia operačného systému a model hardvéru, komunikovať so serverom Command-and-Control (C2) prostredníctvom rozhrania API a zapisovať údaje do spustiteľného súboru v zariadení. Použitie adresy URL služby Disk Google na návnadu a odovzdanie adresy URL C2 ako spúšťacieho argumentu binárnemu systému druhej fázy je v súlade s taktikou, ktorú bolo možné vidieť v predchádzajúcich systémoch macOS zameraných na malvér KĽDR.