Zlonamerna programska oprema TodoSwift Mac

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)

Prevedi v:

Raziskovalci kibernetske varnosti so odkrili novo različico zlonamerne programske opreme macOS, imenovano TodoSwift, ki si deli značilnosti z znano zlonamerno programsko opremo, povezano s severnokorejskimi hekerskimi skupinami.

Ta aplikacija kaže več vedenj, podobnih zlonamerni programski opremi, ki je bila prej pripisana Severni Koreji (DPRK), zlasti skupina groženj BlueNoroff, ki je povezana z zlonamerno programsko opremo, kot sta KANDYKORN in RustBucke . RustBucket, o katerem so prvič poročali julija 2023, je stranska vrata, ki temeljijo na AppleScriptu in je zasnovana za pridobivanje dodatnega koristnega tovora iz strežnika Command-and-Control (C2).

Kazalo

Grožnje zlonamerne programske opreme, povezane s Severno Korejo

Konec lanskega leta so raziskovalci odkrili drugo zlonamerno programsko opremo macOS, znano kot KANDYKORN, ki je bila uporabljena v kibernetskem napadu, usmerjenem na inženirje blockchain na neimenovani borzi kriptovalut.

KANDYKORN se prenaša skozi zapleteno večstopenjsko verigo okužb in je opremljen za dostop do podatkov iz računalnika žrtve in njihovo izločanje. Poleg tega lahko prekine poljubne procese in izvede ukaze v gostiteljskem sistemu.

Ključna podobnost med obema družinama zlonamerne programske opreme je njihova uporaba domen linkpc.net za operacije ukazovanja in nadzora (C2). Tako RustBucket kot KANDYKORN naj bi bila delo skupine Lazarus Group , vključno z njenim podskupinom, znanim kot BlueNoroff.

Severna Koreja prek skupin, kot je skupina Lazarus, še naprej cilja na podjetja v industriji kriptovalut z namenom zbiranja kriptovalut, da bi zaobšla mednarodne sankcije, ki omejujejo njihovo gospodarsko rast in ambicije.

TodoSwift Attack Chain

V napadu TodoSwift so akterji groženj ciljali na inženirje blockchain na javnem strežniku za klepet z vabo, prilagojeno njihovim sposobnostim in interesom, obljubljajoč finančne nagrade.

Najnovejše ugotovitve razkrivajo, da se TodoSwift distribuira kot podpisana datoteka z imenom TodoTasks, ki vsebuje komponento dropper. Ta komponenta je aplikacija GUI, zgrajena s SwiftUI, zasnovana tako, da žrtvi predstavi dokument PDF z orožjem, medtem ko skrivaj prenaša in izvaja drugostopenjsko binarno datoteko, tehniko, ki jo uporablja tudi RustBucket.

Vaba PDF je benigni dokument, povezan z bitcoini, ki gostuje v storitvi Google Drive, medtem ko je grozeči tovor pridobljen iz domene, ki jo nadzira igralec, 'buy2x.com'. Ta koristni tovor je ustvarjen za zbiranje informacij o sistemu in uvajanje dodatne zlonamerne programske opreme.

Ko je nameščena, lahko zlonamerna programska oprema zbira podrobnosti o napravi, kot sta različica OS in model strojne opreme, komunicira s strežnikom za ukazovanje in nadzor (C2) prek API-ja in zapisuje podatke v izvršljivo datoteko v napravi. Uporaba URL-ja Google Drive za vabo in posredovanje URL-ja C2 kot zagonskega argumenta binarnemu zapisu druge stopnje je v skladu s taktiko, ki smo jo opazili v prejšnjih zlonamernih programih DLRK, ki ciljajo na sisteme macOS.