RustBucket Kötü Amaçlı Yazılımı
Siber güvenlik uzmanları, macOS çalıştıran Apple cihazlarını hedeflemek için özel olarak tasarlanmış yeni bir kötü amaçlı yazılım türü belirledi. RustBucket olarak bilinen bu tehdit edici yazılım, kötü şöhretli Lazarus grubuyla yakından bağlantılı veya hatta muhtemelen bir alt grubu olduğuna inanılan BlueNoroff adlı gelişmiş bir kalıcı tehdit (APT) grubu tarafından kullanılıyor.
BlueNoroff, daha önce, Web İşareti güvenlik protokollerini alt edebilen kötü amaçlı yazılım kullanan Windows tabanlı sistemleri hedef almıştı. Yeni keşfedilen macOS kötü amaçlı yazılımı, 'Dahili PDF Görüntüleyici' adı verilen ve beklendiği gibi çalışan meşru bir PDF görüntüleyici uygulaması olarak gizlenmiştir. Ancak gerçekte, güvenliği ihlal edilmiş sistemlerdeki hassas verilere yetkisiz erişim elde etmek için kullanılan sinsi bir araçtır. Tehditle ilgili ayrıntılar, bir mobil cihaz yönetim şirketi olan Jamf tarafından yayınlandı.
İçindekiler
RustBucket macOS Kötü Amaçlı Yazılımı Birden Çok Aşamada Dağıtılır
RustBucket kötü amaçlı yazılımı, hedeflenen Mac cihazlarına bulaşmak için çok aşamalı bir yaklaşım kullanır. İlk aşama, yürütüldükten sonra kötü amaçlı yazılımın ikinci aşamasını bir Komuta ve Kontrol (C2) sunucusundan indiren, 'Dahili PDF Görüntüleyici' adlı imzasız bir uygulamadır.
Kötü amaçlı yazılımın ikinci aşaması aynı adı taşır - "Dahili PDF Görüntüleyici", ancak bu sefer meşru bir Apple paketi tanımlayıcısı (com.apple.pdfViewer) gibi görünecek şekilde tasarlanmış ve geçici bir özelliği olan imzalı bir uygulamadır. imza. Tehdit aktörleri, kötü amaçlı yazılımı farklı aşamalara ayırarak, özellikle C2 sunucusunun çevrimdışı olması durumunda analiz edilmesini zorlaştırır.
Bozuk Bir PDF Dosyası, RustBucket Enfeksiyonunun Son Parçasıdır
Ancak, bu aşamada bile RustBucket, kötü amaçlı yeteneklerinin hiçbirini etkinleştirmeyecektir. İhlal edilen macOS cihazında gerçek işlevselliğini başarılı bir şekilde etkinleştirmek için belirli bir PDF dosyasının açılması gerekir. Bu bozuk PDF dosyası, teknik girişimlere yatırım yapmak isteyen risk sermayesi firmaları hakkında bilgi içerdiği iddia edilen dokuz sayfalık bir belge olarak gizlenmiştir.
Gerçekte, dosyanın açılması, yine geçici bir imzayla imzalanmış ve Rust'ta yazılmış 11,2 MB'lik bir Truva Atı'nın yürütülmesini tetikleyerek RustBucket bulaşma zincirini tamamlayacaktır. Truva atı tehdidi, temel sistem verilerini toplayarak ve o anda çalışan işlemlerin bir listesini alarak sistem keşfi yapmak gibi çeşitli müdahaleci işlevleri gerçekleştirebilir. Tehdit, sanal ortamda çalışıyorsa saldırganlara da veri gönderir.
Siber Suçlular macOS Ekosistemine Uyum Sağlamaya Başlıyor
Kötü amaçlı yazılımların siber saldırganlar tarafından kullanılması, macOS işletim sisteminin siber suçlar için giderek daha fazla hedef haline geldiği artan bir trendin altını çiziyor. Bu eğilim, siber suçluların araçlarını ve taktiklerini Apple platformunu içerecek şekilde güncellemeleri gerektiğini fark etmelerinden kaynaklanmaktadır. Bu, önemli sayıda potansiyel kurbanın, stratejilerini macOS sistemlerinin güvenlik açıklarından yararlanmaya uyarlayan saldırganlar tarafından hedef alınma riskiyle karşı karşıya olduğu anlamına gelir.
