TodoSwift Mac Malware

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT)

Isalin To:

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong strain ng macOS malware na tinatawag na TodoSwift, na nagbabahagi ng mga katangian sa kilalang malware na naka-link sa mga grupo ng pag-hack ng North Korea.

Ang application na ito ay nagpapakita ng ilang mga pag-uugali na katulad ng malware na dating iniugnay sa North Korea (DPRK), partikular na ang BlueNoroff threat group, na nauugnay sa malware tulad ng KANDYKORN at RustBucke . Ang RustBucket, na unang iniulat noong Hulyo 2023, ay isang backdoor na nakabatay sa AppleScript na idinisenyo upang kunin ang mga karagdagang payload mula sa isang Command-and-Control (C2) server.

Talaan ng mga Nilalaman

Mga Banta sa Malware na Nakaugnay sa North Korean

Sa huling bahagi ng nakaraang taon, natuklasan ng mga mananaliksik ang isa pang macOS malware na kilala bilang KANDYKORN, na ginamit sa isang cyber attack na nagta-target sa mga inhinyero ng blockchain sa isang hindi pinangalanang cryptocurrency exchange.

Ang KANDYKORN ay inihahatid sa pamamagitan ng isang kumplikadong multi-stage na chain ng impeksyon at nilagyan upang ma-access at i-exfiltrate ang data mula sa computer ng biktima. Bukod pa rito, maaari nitong wakasan ang mga arbitrary na proseso at magsagawa ng mga utos sa host system.

Ang isang pangunahing pagkakatulad sa pagitan ng dalawang pamilya ng malware ay ang kanilang paggamit ng mga domain ng linkpc.net para sa mga operasyon ng Command-and Control (C2). Parehong ang RustBucket at KANDYKORN ay pinaniniwalaang gawa ng Lazarus Group , kasama ang sub-cluster nito na kilala bilang BlueNoroff.

Ang North Korea, sa pamamagitan ng mga grupo tulad ng Lazarus Group, ay patuloy na nagta-target ng mga negosyo sa industriya ng cryptocurrency na may layuning mag-ani ng cryptocurrency upang lampasan ang mga internasyonal na parusa na naghihigpit sa kanilang paglago ng ekonomiya at mga ambisyon.

TodoSwift Attack Chain

Sa pag-atake ng TodoSwift, pinuntirya ng mga banta ng aktor ang mga inhinyero ng blockchain sa isang pampublikong chat server na may pang-akit na iniayon sa kanilang mga kasanayan at interes, na nangangako ng mga pabuya sa pananalapi.

Ang mga kamakailang natuklasan ay nagpapakita na ang TodoSwift ay ipinamahagi bilang isang nilagdaang file na pinangalanang TodoTasks, na naglalaman ng bahagi ng dropper. Ang bahaging ito ay isang GUI application na binuo gamit ang SwiftUI, na idinisenyo upang ipakita ang isang sandatahang PDF na dokumento sa biktima habang palihim na nagda-download at nagsasagawa ng pangalawang yugto ng binary, isang pamamaraan na ginagamit din ng RustBucket.

Ang PDF lure ay isang benign na dokumentong nauugnay sa Bitcoin na naka-host sa Google Drive, habang ang nagbabantang payload ay kinukuha mula sa isang domain na kontrolado ng aktor, 'buy2x.com.' Ang payload na ito ay ginawa upang mangolekta ng impormasyon ng system at mag-deploy ng karagdagang malware.

Kapag na-install na, makakalap ng mga detalye ang malware tungkol sa device, gaya ng bersyon ng OS at modelo ng hardware, makipag-ugnayan sa Command-and-Control (C2) server sa pamamagitan ng API, at magsulat ng data sa isang executable na file sa device. Ang paggamit ng URL ng Google Drive para sa pang-akit at pagpasa sa C2 URL bilang argumento sa paglulunsad sa binary sa ikalawang yugto ay naaayon sa mga taktika na nakita sa dating DPRK malware na nagta-target sa mga macOS system.