Zlonamerna programska oprema RustBucket
Strokovnjaki za kibernetsko varnost so odkrili novo obliko zlonamerne programske opreme, ki je posebej zasnovana za ciljanje na naprave Apple z operacijskim sistemom macOS. To grozečo programsko opremo, znano kot RustBucket, uporablja skupina za napredne trajne grožnje (APT), imenovana BlueNoroff, ki naj bi bila tesno povezana ali morda celo podskupina razvpite skupine Lazarus .
Predvsem je BlueNoroff že prej ciljal na sisteme Windows z zlonamerno programsko opremo, ki se je lahko izognila varnostnim protokolom Mark-of-the-Web. Na novo odkrita zlonamerna programska oprema macOS je prikrita kot zakonita aplikacija za pregledovanje PDF, imenovana »Internal PDF Viewer«, ki deluje po pričakovanjih. Vendar pa je v resnici zahrbtno orodje, ki se uporablja za pridobitev nepooblaščenega dostopa do občutljivih podatkov v ogroženih sistemih. Podrobnosti o grožnji je objavil Jamf, podjetje za upravljanje mobilnih naprav.
Kazalo
Zlonamerna programska oprema za macOS RustBucket je dobavljena v več fazah
Zlonamerna programska oprema RustBucket uporablja večstopenjski pristop za okužbo ciljnih naprav Mac. Prva stopnja je nepodpisana aplikacija, imenovana 'Internal PDF Viewer', ki po izvedbi prenese drugo stopnjo zlonamerne programske opreme s strežnika za ukazovanje in nadzor (C2).
Druga stopnja zlonamerne programske opreme nosi isto ime - 'Notranji pregledovalnik PDF', vendar je tokrat podpisana aplikacija, ki je zasnovana tako, da je videti kot zakonit identifikator paketa Apple (com.apple.pdfViewer) in ima ad-hoc podpis. Z razdelitvijo zlonamerne programske opreme na različne stopnje povzročitelji groženj otežijo analizo, zlasti če strežnik C2 ni povezan.
Poškodovana datoteka PDF je zadnji delček okužbe RustBucket
Vendar tudi na tej stopnji RustBucket ne bo aktiviral nobene od svojih zlonamernih zmožnosti. Za uspešno aktivacijo njegove prave funkcionalnosti na napravi macOS, v kateri je prišlo do vdora, je treba odpreti določeno datoteko PDF. Ta poškodovana datoteka PDF je prikrita kot devetstranski dokument, ki naj bi vseboval informacije o podjetjih tveganega kapitala, ki želijo vlagati v tehnična zagonska podjetja.
V resnici bo odpiranje datoteke zaključilo verigo okužbe RustBucket s sprožitvijo izvajanja 11,2 MB velikega trojanca, ki je prav tako podpisan z ad-hoc podpisom in napisan v Rustu. Trojanska grožnja lahko izvaja različne vsiljive funkcije, kot je izvajanje izvida sistema z zbiranjem osnovnih sistemskih podatkov in pridobitvijo seznama trenutno izvajanih procesov. Grožnja tudi pošilja podatke napadalcem, če se izvaja v virtualnem okolju.
Kibernetski kriminalci se začenjajo prilagajati ekosistemu macOS
Uporaba zlonamerne programske opreme s strani kibernetskih napadalcev poudarja naraščajoč trend, v katerem operacijski sistem macOS vse bolj postaja tarča kibernetskega kriminala. Ta trend poganja dejstvo, da se kibernetski kriminalci zavedajo, da morajo posodobiti svoja orodja in taktike, da bodo vključevali platformo Apple. To pomeni, da obstaja veliko število potencialnih žrtev v nevarnosti, da postanejo tarča napadalcev, ki so prilagodili svoje strategije za izkoriščanje ranljivosti sistemov macOS.
