TodoSwift Mac Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de

Çevir:

Siber güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanı gruplarıyla bağlantılı olduğu bilinen kötü amaçlı yazılımlarla aynı özellikleri paylaşan TodoSwift adlı yeni bir macOS kötü amaçlı yazılım türünü ortaya çıkardı.

Bu uygulama, daha önce Kuzey Kore'ye (DPRK) atfedilen kötü amaçlı yazılımlara, özellikle KANDYKORN ve RustBucke gibi kötü amaçlı yazılımlarla ilişkilendirilen BlueNoroff tehdit grubuna benzer çeşitli davranışlar sergiliyor. İlk olarak Temmuz 2023'te bildirilen RustBucket, bir Komuta ve Kontrol (C2) sunucusundan ek yükler almak için tasarlanmış AppleScript tabanlı bir arka kapıdır.

İçindekiler

Kuzey Kore Bağlantılı Kötü Amaçlı Yazılım Tehditleri

Geçtiğimiz yılın sonlarında araştırmacılar, ismi açıklanmayan bir kripto para borsasındaki blockchain mühendislerini hedef alan bir siber saldırıda kullanılan KANDYKORN adlı başka bir macOS kötü amaçlı yazılımını keşfettiler.

KANDYKORN, karmaşık çok aşamalı bir enfeksiyon zinciri aracılığıyla iletilir ve kurbanın bilgisayarından verilere erişmek ve bunları sızdırmak için donatılmıştır. Ayrıca, keyfi işlemleri sonlandırabilir ve ana bilgisayar sisteminde komutlar yürütebilir.

İki kötü amaçlı yazılım ailesi arasındaki temel benzerliklerden biri, Komuta ve Kontrol (C2) işlemleri için linkpc.net alan adlarını kullanmalarıdır. Hem RustBucket hem de KANDYKORN'un, BlueNoroff olarak bilinen alt kümesi de dahil olmak üzere Lazarus Group'un işi olduğuna inanılıyor.

Kuzey Kore, Lazarus Group gibi gruplar aracılığıyla, ekonomik büyümelerini ve hedeflerini kısıtlayan uluslararası yaptırımları aşmak için kripto para toplamayı amaçlayan kripto para sektöründeki işletmeleri hedef almaya devam ediyor.

TodoSwift Saldırı Zinciri

TodoSwift saldırısında tehdit grupları, blockchain mühendislerini, yeteneklerine ve ilgi alanlarına göre hazırlanmış bir yemle, finansal ödüller vadederek, herkese açık bir sohbet sunucusunda hedef aldı.

Son bulgular, TodoSwift'in TodoTasks adlı imzalı bir dosya olarak dağıtıldığını ve bir dropper bileşeni içerdiğini ortaya koyuyor. Bu bileşen, SwiftUI ile oluşturulmuş bir GUI uygulamasıdır ve kurbana silahlandırılmış bir PDF belgesi sunarken gizlice ikinci aşama bir ikili dosyayı indirip yürütmek için tasarlanmıştır, bu teknik RustBucket tarafından da kullanılmıştır.

PDF yemi, Google Drive'da barındırılan zararsız bir Bitcoin ile ilgili belge iken, tehdit edici yük, aktör tarafından kontrol edilen bir etki alanı olan 'buy2x.com'dan alınmıştır. Bu yük, sistem bilgilerini toplamak ve ek kötü amaçlı yazılımlar dağıtmak için tasarlanmıştır.

Yüklendikten sonra kötü amaçlı yazılım, işletim sistemi sürümü ve donanım modeli gibi cihaz hakkında ayrıntıları toplayabilir, API aracılığıyla Komuta ve Kontrol (C2) sunucusuyla iletişim kurabilir ve cihazdaki yürütülebilir bir dosyaya veri yazabilir. Yem için bir Google Drive URL'sinin kullanılması ve C2 URL'sinin ikinci aşama ikilisine başlatma argümanı olarak iletilmesi, macOS sistemlerini hedef alan önceki DPRK kötü amaçlı yazılımlarında görülen taktiklerle uyumludur.