Jamf Threat Labs’daki siber güvenlik analistleri yakın zamanda bir macOS kötü amaçlı yazılım ailesini ortaya çıkardı. Yeni kötü amaçlı yazılım ailesi, komut ve kontrol (C2) sunucularıyla iletişim kurarak çeşitli türde yükleri indiren ve yürüten “RustBucket” olarak izlendi.
Mali amaçları olan Kuzey Koreli bir tehdit grubu olan BlueNoroff’un bu yeni macOS kötü amaçlı yazılımını geliştirdiğine inanılıyor.
BlueNoroff, birkaç takma adla da bilinen kötü şöhretli Lazarus kümesinin bir fraksiyonudur ve aşağıda onlardan bahsetmiştik:-
- APT28
- Nikel Gladstone
- safir sulu kar
- Yıldız Tozu Chollima
- TA444
yükler Kullanılmış
Bu grup, çeşitli benzerlikler nedeniyle Lazarus kümesiyle ilişkilendirilmiştir; bu benzerlikler şunları içerir: –
- Kötü amaçlı araçlar
- iş akışı
- Sosyal mühendislik kalıpları
Lazarus Group’un diğer üyelerinden farklı olarak BlueNoroff, SWIFT sistemine ve kripto para borsalarına sızmaya odaklanan gelişmiş siber hırsızlık operasyonlarıyla öne çıkıyor.
Bu faaliyetler izinsiz giriş setinin bir parçası olarak CryptoCore altında izlenir. FBI, BlueNoroff’u Haziran 2022’de Harmony Horizon Bridge’den 100 milyon dolarlık kripto para birimi çalmakla suçladı.
BlueNoroff’un saldırı taktikleri, son zamanlarda e-posta alıcılarını oturum açma kimlik bilgilerini vermeleri için kandırmak için sahte açılış sayfalarında iş temalı yemler kullanmaya doğru kaydı.
RustBucket, saldırının başarılı olması için kurbanın Gatekeeper korumalarını geçersiz kılmasını gerektiren bir “Dahili PDF Görüntüleyici” uygulaması olarak kendini gizler.
AppleScript dosyası, uzak bir sunucudan ikinci aşama bir yük getiren kötü amaçlı bir uygulamadır. İlk uygulamayla aynı adı taşıyan bu yük, aynı zamanda geçici olarak imzalanmıştır.
Objective-C’de kodlanan ikinci aşama yükü, yalnızca uygulama aracılığıyla hileli bir PDF dosyası açıldığında saldırı dizisinin bir sonraki aşamasını tetikleyen basit bir PDF görüntüleyici sunar.
Uygulama, Apple’ın yetkin PDFKit Çerçevesi kullanılarak mümkün kılınan bir PDF görüntüleyici işlevi görür. Uygulama, yürütüldüğü andan itibaren hiçbir kötü amaçlı eylem gerçekleştirmedi.
Jamf, bir “yatırım stratejisi” sağladığını iddia eden dokuz sayfalık bir PDF belgesi saptadı. Açıldıktan sonra, üçüncü aşama bir truva atı almak ve yürütmek için bir C2 sunucusuna bağlanır.
Üçüncü aşama truva atının Rust’ta Mach-O çalıştırılabilir olarak kodlandığı ve truva atının sistem gözetim komutlarını yürütmesini sağladığı gözlemlendi. İlk erişimi elde etmenin yolları ve saldırıların başarı oranı belirsizliğini koruyor.
Ancak bu son keşif, tehdit aktörlerinin araç setlerini Rust ve Go benzeri programlama dillerini kullanarak platformlar arası kötü amaçlı yazılımları dahil edecek şekilde ayarladıklarını gösteriyor.
İşte tüm iş akışının görsel bir temsili: –
Lazarus Group’un stratejik istihbarat toplamak ve kripto para hırsızlığı yapmak için çeşitli endüstrilere ve ülkelere yönelik son saldırıları, bu kötü amaçlı yazılımın keşfiyle aynı zamana denk geliyor.
Tehdit aktörleri, macOS’u hedef alarak, Apple ekosistemine yönelik saldırıların üstesinden gelmek için uygun araçlara sahip olmayanların, işletim sisteminin pazar payı arttıkça savunmasız kalacağını fark eder.
MacOS’u hedeflemesiyle tanınan ve BlueNoroff ile bağları olan Lazarus Group, muhtemelen diğer APT gruplarına da aynı yolu izlemeleri için ilham verecek.
öneriler
Aşağıda, tüm önerilerden bahsettik: –
- Tanımadığınız birinden bir e-posta alırsanız, hiçbir dosyayı açmadığınızdan emin olun.
- Bu e-postalardaki bağlantılara da tıklanması önerilmez.
- Apple bilgisayarınızın en iyi Mac antivirüs yazılımı çözümlerinden biriyle korunduğundan emin olun.
- Güvenilmeyen veya güvenilir olmayan kaynaklardan herhangi bir dosya indirmekten kaçının.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin