Phần mềm độc hại RustBuck

Các chuyên gia an ninh mạng đã xác định được một dạng phần mềm độc hại mới được thiết kế đặc biệt để nhắm mục tiêu các thiết bị Apple chạy macOS. Phần mềm đe dọa này, được gọi là RustBucket, đang được sử dụng bởi một nhóm đe dọa liên tục nâng cao (APT) có tên BlueNoroff, được cho là có liên kết chặt chẽ với hoặc thậm chí có thể là một nhóm phụ của nhóm Lazarus khét tiếng.

Đáng chú ý, BlueNoroff trước đây đã nhắm mục tiêu các hệ thống dựa trên Windows bằng cách sử dụng phần mềm độc hại có thể phá vỡ các giao thức bảo mật Mark-of-the-Web. Phần mềm độc hại macOS mới được phát hiện được ngụy trang dưới dạng một ứng dụng xem PDF hợp pháp có tên là 'Trình xem PDF nội bộ' dường như hoạt động như mong đợi. Tuy nhiên, trên thực tế, nó là một công cụ xảo quyệt được sử dụng để truy cập trái phép vào dữ liệu nhạy cảm trên các hệ thống bị xâm nhập. Thông tin chi tiết về mối đe dọa đã được công bố bởi Jamf, một công ty quản lý thiết bị di động.

Phần mềm độc hại RustBucket macOS được phân phối theo nhiều giai đoạn

Phần mềm độc hại RustBucket sử dụng cách tiếp cận nhiều giai đoạn để lây nhiễm các thiết bị Mac được nhắm mục tiêu. Giai đoạn đầu tiên là một ứng dụng chưa được ký tên gọi là 'Trình xem PDF nội bộ', khi thực thi, ứng dụng này sẽ tải xuống giai đoạn thứ hai của phần mềm độc hại từ máy chủ Command-and-Control (C2).

Giai đoạn thứ hai của phần mềm độc hại có cùng tên - 'Trình xem PDF nội bộ', nhưng lần này, nó là một ứng dụng đã ký được thiết kế để trông giống như một mã định danh gói hợp pháp của Apple (com.apple.pdfViewer) và có một đặc biệt chữ ký. Bằng cách chia phần mềm độc hại thành các giai đoạn khác nhau, các tác nhân đe dọa sẽ khiến việc phân tích trở nên khó khăn hơn, đặc biệt nếu máy chủ C2 ngoại tuyến.

Một tệp PDF bị hỏng là phần cuối cùng của sự lây nhiễm RustBucket

Tuy nhiên, ngay cả ở giai đoạn này, RustBucket sẽ không kích hoạt bất kỳ khả năng độc hại nào của nó. Để kích hoạt thành công chức năng thực sự của nó trên thiết bị macOS bị vi phạm, một tệp PDF cụ thể phải được mở. Tệp PDF bị hỏng này được ngụy trang thành một tài liệu dài chín trang nhằm mục đích chứa thông tin về các công ty đầu tư mạo hiểm đang tìm cách đầu tư vào các công ty khởi nghiệp kỹ thuật.

Trên thực tế, việc mở tệp sẽ hoàn thành chuỗi lây nhiễm RustBucket bằng cách kích hoạt việc thực thi một Trojan 11,2 MB cũng được ký bằng chữ ký đặc biệt và được viết bằng Rust. Mối đe dọa Trojan có thể thực hiện nhiều chức năng xâm nhập khác nhau, chẳng hạn như thực hiện trinh sát hệ thống bằng cách thu thập dữ liệu hệ thống cơ bản và lấy danh sách các quy trình hiện đang chạy. Mối đe dọa cũng gửi dữ liệu cho những kẻ tấn công nếu nó đang chạy trong môi trường ảo.

Tội phạm mạng đang bắt đầu thích ứng với Hệ sinh thái macOS

Việc những kẻ tấn công mạng sử dụng phần mềm độc hại làm nổi bật xu hướng ngày càng tăng, trong đó hệ điều hành macOS ngày càng trở thành mục tiêu của tội phạm mạng. Xu hướng này được thúc đẩy bởi thực tế là tội phạm mạng đang nhận ra rằng chúng cần cập nhật các công cụ và chiến thuật của mình để bao gồm nền tảng Apple. Điều này có nghĩa là một số lượng lớn nạn nhân tiềm năng có nguy cơ trở thành mục tiêu của những kẻ tấn công đã điều chỉnh chiến lược của chúng để khai thác các lỗ hổng của hệ thống macOS.