ТодоСвифт Мац малвер

До Mezo. у Малваре, Напредна трајна претња (АПТ)

Преведи на:

Истраживачи сајбер безбедности открили су нови сој мацОС малвера под називом ТодоСвифт, који дели карактеристике са познатим малвером повезаним са севернокорејским хакерским групама.

Ова апликација показује неколико понашања сличних малверу који се раније приписивао Северној Кореји (ДПРК), посебно групи претњи БлуеНорофф, која је повезана са малвером као што су КАНДИКОРН и РустБуцке . РустБуцкет, први пут пријављен у јулу 2023. године, је бацкдоор заснован на АпплеСцрипт-у дизајниран за преузимање додатних корисних података са сервера за команду и контролу (Ц2).

Преглед садржаја

Претње од злонамерног софтвера повезане са Северном Корејом

Крајем прошле године, истраживачи су открили још један мацОС малвер познат као КАНДИКОРН, који је коришћен у сајбер нападу који је циљао блокчејн инжењере на неименовану берзу криптовалута.

КАНДИКОРН се испоручује кроз сложени вишестепени ланац инфекције и опремљен је за приступ и ексфилтрацију података са рачунара жртве. Поред тога, може прекинути произвољне процесе и извршити команде на хост систему.

Кључна сличност између две породице малвера је њихова употреба домена линкпц.нет за командно-контролне (Ц2) операције. Верује се да су и РустБуцкет и КАНДИКОРН дело Лазарус групе , укључујући њен под-кластер познат као БлуеНорофф.

Северна Кореја, преко група као што је Лазарус Гроуп, наставља да циља компаније у индустрији криптовалута са циљем прикупљања криптовалуте како би заобишла међународне санкције које ограничавају њихов економски раст и амбиције.

ТодоСвифт ланац напада

У нападу ТодоСвифт, актери претњи су циљали блокчејн инжењере на јавном серверу за ћаскање са мамцем прилагођеним њиховим вештинама и интересовањима, обећавајући финансијске награде.

Недавни налази откривају да се ТодоСвифт дистрибуира као потписана датотека под називом ТодоТаскс, која садржи компоненту дроппер. Ова компонента је ГУИ апликација направљена са СвифтУИ, дизајнирана да жртви представи наоружани ПДФ документ док тајно преузима и извршава бинарни фајл друге фазе, технику коју такође користи РустБуцкет.

ПДФ мамац је бенигни документ у вези са биткоином који се налази на Гоогле диску, док се претећи терет преузима са домена који контролише актер, „буи2к.цом“. Овај корисни терет је направљен да прикупља системске информације и примењује додатни малвер.

Једном инсталиран, малвер може да прикупи детаље о уређају, као што су верзија ОС-а и модел хардвера, да комуницира са сервером за команду и контролу (Ц2) преко АПИ-ја и упише податке у извршну датотеку на уређају. Коришћење УРЛ-а Гоогле диска за привлачење и прослеђивање Ц2 УРЛ-а као аргумента за покретање бинарном систему друге фазе у складу је са тактиком виђеном у претходним ДПРК малверима који су циљали мацОС системе.