Phần mềm độc hại TodoSwift Mac

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT)

Dịch sang:

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại phần mềm độc hại macOS mới có tên là TodoSwift, có đặc điểm giống với phần mềm độc hại đã biết có liên quan đến các nhóm tin tặc Triều Tiên.

Ứng dụng này thể hiện một số hành vi tương tự như phần mềm độc hại trước đây được cho là của Triều Tiên (DPRK), đặc biệt là nhóm đe dọa BlueNoroff, có liên quan đến phần mềm độc hại như KANDYKORN và RustBucke . RustBucket, được báo cáo lần đầu tiên vào tháng 7 năm 2023, là một cửa hậu dựa trên AppleScript được thiết kế để truy xuất các tải trọng bổ sung từ máy chủ Command-and-Control (C2).

Mục lục

Mối đe dọa phần mềm độc hại liên quan đến Bắc Triều Tiên

Cuối năm ngoái, các nhà nghiên cứu đã phát hiện ra một phần mềm độc hại macOS khác có tên là KANDYKORN, được sử dụng trong một cuộc tấn công mạng nhắm vào các kỹ sư blockchain tại một sàn giao dịch tiền điện tử không nêu tên.

KANDYKORN được phân phối thông qua một chuỗi lây nhiễm phức tạp nhiều giai đoạn và được trang bị để truy cập và đánh cắp dữ liệu từ máy tính của nạn nhân. Ngoài ra, nó có thể chấm dứt các quy trình tùy ý và thực hiện các lệnh trên hệ thống máy chủ.

Điểm tương đồng chính giữa hai họ phần mềm độc hại này là chúng sử dụng tên miền linkpc.net cho các hoạt động Chỉ huy và Kiểm soát (C2). Cả RustBucket và KANDYKORN đều được cho là do Lazarus Group thực hiện, bao gồm cả nhóm phụ được gọi là BlueNoroff.

Triều Tiên, thông qua các nhóm như Lazarus Group, tiếp tục nhắm vào các doanh nghiệp trong ngành tiền điện tử với mục đích khai thác tiền điện tử để vượt qua các lệnh trừng phạt quốc tế hạn chế tăng trưởng kinh tế và tham vọng của họ.

Chuỗi tấn công TodoSwift

Trong cuộc tấn công TodoSwift, kẻ tấn công nhắm vào các kỹ sư blockchain trên máy chủ trò chuyện công khai bằng mồi nhử phù hợp với kỹ năng và sở thích của họ, hứa hẹn phần thưởng tài chính.

Những phát hiện gần đây cho thấy TodoSwift được phân phối dưới dạng tệp đã ký có tên TodoTasks, chứa thành phần dropper. Thành phần này là ứng dụng GUI được xây dựng bằng SwiftUI, được thiết kế để trình bày tài liệu PDF được vũ khí hóa cho nạn nhân trong khi bí mật tải xuống và thực thi tệp nhị phân giai đoạn thứ hai, một kỹ thuật cũng được RustBucket sử dụng.

Mồi nhử PDF là một tài liệu liên quan đến Bitcoin lành tính được lưu trữ trên Google Drive, trong khi phần mềm độc hại đe dọa được lấy từ một miền do tác nhân kiểm soát, 'buy2x.com.' Phần mềm độc hại này được tạo ra để thu thập thông tin hệ thống và triển khai thêm phần mềm độc hại.

Sau khi cài đặt, phần mềm độc hại có thể thu thập thông tin chi tiết về thiết bị, chẳng hạn như phiên bản hệ điều hành và kiểu phần cứng, giao tiếp với máy chủ Command-and-Control (C2) qua API và ghi dữ liệu vào tệp thực thi trên thiết bị. Việc sử dụng URL Google Drive để dụ và truyền URL C2 làm đối số khởi chạy cho tệp nhị phân giai đoạn thứ hai phù hợp với các chiến thuật đã thấy trong phần mềm độc hại DPRK trước đây nhắm vào hệ thống macOS.