RustBucket 恶意软件

网络安全专家发现了一种新型恶意软件，专门针对运行 macOS 的 Apple 设备而设计。这种被称为 RustBucket 的威胁软件正在被一个名为 BlueNoroff 的高级持续威胁 (APT) 组织使用，该组织被认为与臭名昭著的Lazarus组织密切相关，甚至可能是其子组织。

值得注意的是，BlueNoroff 之前曾使用能够绕过 Mark-of-the-Web 安全协议的恶意软件针对基于 Windows 的系统。新发现的 macOS 恶意软件伪装成名为“Internal PDF Viewer”的合法 PDF 查看器应用程序，该应用程序似乎可以正常运行。然而，实际上，它是一种用于未经授权访问受感染系统上的敏感数据的阴险工具。有关威胁的详细信息由移动设备管理公司 Jamf 发布。

RustBucket macOS 恶意软件分多个阶段交付

RustBucket 恶意软件使用多阶段方法感染目标 Mac 设备。第一阶段是一个名为“内部 PDF 查看器”的未签名应用程序，它在执行时从命令与控制 (C2) 服务器下载恶意软件的第二阶段。

恶意软件的第二阶段具有相同的名称 - “Internal PDF Viewer”，但这一次，它是一个签名的应用程序，其设计看起来像一个合法的 Apple 捆绑包标识符 (com.apple.pdfViewer)，并且有一个临时的签名。通过将恶意软件分为不同的阶段，威胁行为者使其更难分析，尤其是在 C2 服务器离线的情况下。

损坏的 PDF 文件是 RustBucket 感染的最后一块碎片

然而，即使在此阶段，RustBucket 也不会激活其任何恶意功能。为了在被破坏的 macOS 设备上成功激活其真正的功能，必须打开一个特定的 PDF 文件。这个损坏的 PDF 文件被伪装成一个九页的文件，声称包含有关寻求投资技术初创公司的风险投资公司的信息。

实际上，打开文件将通过触发执行一个 11.2 MB 的特洛伊木马来完成 RustBucket 感染链，该特洛伊木马也使用临时签名并用 Rust 编写。木马威胁可以执行各种入侵功能，例如通过收集基本系统数据和获取当前正在运行的进程列表来执行系统侦察。如果威胁在虚拟环境中运行，它还会向攻击者发送数据。

网络罪犯开始适应 macOS 生态系统

网络攻击者对恶意软件的利用凸显了 macOS 操作系统日益成为网络犯罪目标的增长趋势。这一趋势是由网络犯罪分子认识到他们需要更新他们的工具和策略以包括 Apple 平台这一事实推动的。这意味着大量潜在受害者有可能成为攻击者的目标，这些攻击者已调整策略以利用 macOS 系统的漏洞。