RustBucket 惡意軟件

網絡安全專家發現了一種新型惡意軟件，專門針對運行 macOS 的 Apple 設備而設計。這種被稱為 RustBucket 的威脅軟件正在被一個名為 BlueNoroff 的高級持續威脅 (APT) 組織使用，該組織被認為與臭名昭著的Lazarus組織密切相關，甚至可能是其子組織。

值得注意的是，BlueNoroff 之前曾使用能夠繞過 Mark-of-the-Web 安全協議的惡意軟件針對基於 Windows 的系統。新發現的 macOS 惡意軟件偽裝成名為“Internal PDF Viewer”的合法 PDF 查看器應用程序，該應用程序似乎可以正常運行。然而，實際上，它是一種用於未經授權訪問受感染系統上的敏感數據的陰險工具。有關威脅的詳細信息由移動設備管理公司 Jamf 發布。

RustBucket macOS 惡意軟件分多個階段交付

RustBucket 惡意軟件使用多階段方法感染目標 Mac 設備。第一階段是一個名為“內部 PDF 查看器”的未簽名應用程序，它在執行時從命令與控制 (C2) 服務器下載惡意軟件的第二階段。

惡意軟件的第二階段具有相同的名稱 - “Internal PDF Viewer”，但這一次，它是一個簽名的應用程序，其設計看起來像一個合法的 Apple 捆綁包標識符 (com.apple.pdfViewer)，並且有一個臨時的簽名。通過將惡意軟件分為不同的階段，威脅行為者使其更難分析，尤其是在 C2 服務器離線的情況下。

損壞的 PDF 文件是 RustBucket 感染的最後一塊碎片

然而，即使在此階段，RustBucket 也不會激活其任何惡意功能。為了在被破壞的 macOS 設備上成功激活其真正的功能，必須打開一個特定的 PDF 文件。這個損壞的 PDF 文件被偽裝成一個九頁的文件，聲稱包含有關尋求投資技術初創公司的風險投資公司的信息。

實際上，打開文件將通過觸發執行一個 11.2 MB 的特洛伊木馬來完成 RustBucket 感染鏈，該特洛伊木馬也使用臨時簽名並用 Rust 編寫。木馬威脅可以執行各種入侵功能，例如通過收集基本系統數據和獲取當前正在運行的進程列表來執行系統偵察。如果威脅在虛擬環境中運行，它還會向攻擊者發送數據。

網絡罪犯開始適應 macOS 生態系統

網絡攻擊者對惡意軟件的利用凸顯了 macOS 操作系統日益成為網絡犯罪目標的增長趨勢。這一趨勢是由網絡犯罪分子認識到他們需要更新他們的工具和策略以包括 Apple 平台這一事實推動的。這意味著大量潛在受害者有可能成為攻擊者的目標，這些攻擊者已調整策略以利用 macOS 系統的漏洞。