TodoSwift для Mac

До Mezo року в Шкідливе програмне забезпечення, Розширена постійна загроза (APT) році

Перекласти на:

Дослідники з кібербезпеки виявили новий тип зловмисного програмного забезпечення macOS під назвою TodoSwift, який має спільні характеристики з відомим шкідливим програмним забезпеченням, пов’язаним із північнокорейськими хакерськими групами.

Ця програма демонструє кілька дій, подібних до зловмисного програмного забезпечення, яке раніше приписували Північній Кореї (КНДР), зокрема групи загроз BlueNoroff, яка пов’язана зі зловмисним програмним забезпеченням, таким як KANDYKORN і RustBucke . RustBucket, про який вперше було повідомлено в липні 2023 року, — це бекдор на основі AppleScript, призначений для отримання додаткових корисних даних із сервера командування та керування (C2).

Зміст

Зловмисне програмне забезпечення, пов’язане з Північною Кореєю

Наприкінці минулого року дослідники виявили ще одне зловмисне програмне забезпечення macOS, відоме як KANDYKORN, яке використовувалося в кібератаці, спрямованій на інженерів блокчейну на неназваній біржі криптовалют.

KANDYKORN доставляється через складний багатоетапний ланцюжок зараження та оснащений для доступу та вилучення даних із комп’ютера жертви. Крім того, він може завершувати довільні процеси та виконувати команди на хост-системі.

Ключова схожість між цими двома сімействами зловмисного програмного забезпечення полягає в тому, що вони використовують домени linkpc.net для операцій командування та керування (C2). Вважається, що і RustBucket, і KANDYKORN є розробкою групи Lazarus Group , включаючи її підкластер, відомий як BlueNoroff.

Північна Корея через такі групи, як Lazarus Group, продовжує націлюватися на бізнес у криптовалютній індустрії з метою збору криптовалюти, щоб обійти міжнародні санкції, які обмежують їх економічне зростання та амбіції.

Ланцюг атак TodoSwift

Під час атаки TodoSwift зловмисники націлилися на інженерів блокчейну на загальнодоступному чат-сервері за допомогою приманки, адаптованої до їхніх навичок та інтересів, обіцяючи фінансову винагороду.

Нещодавні висновки показують, що TodoSwift поширюється як підписаний файл під назвою TodoTasks, який містить компонент дроппера. Цей компонент являє собою програму з графічним інтерфейсом користувача, створену за допомогою SwiftUI, призначену для представлення PDF-документа жертві під час таємного завантаження та виконання двійкового файлу другого етапу, метод, який також використовує RustBucket.

PDF-приманка — це безпечний документ, пов’язаний з біткойнами, розміщений на Google Drive, тоді як загрозливий корисний вміст отримується з контрольованого актором домену buy2x.com. Це корисне навантаження створено для збору системної інформації та розгортання додаткових шкідливих програм.

Після встановлення зловмисне програмне забезпечення може збирати інформацію про пристрій, наприклад версію ОС і модель апаратного забезпечення, спілкуватися з сервером командного керування (C2) через API та записувати дані у виконуваний файл на пристрої. Використання URL-адреси Google Drive для приваблення та передача URL-адреси C2 як аргументу запуску до двійкового файлу другого етапу узгоджується з тактикою, яка застосовувалася в попередніх зловмисних програмах КНДР, націлених на системи macOS.