Yeni bir kötü amaçlı yazılım çeşidi, kripto para birimi borsalarını, risk sermayesi şirketlerini ve bankaları hedef alan finansal motivasyonlu bir tehdit grubu olan BlueNordoff APT grubu tarafından dağıtılıyor.
Bu yeni kampanya RustBucket kampanyasıyla benzer özelliklere sahip.
BlueNoroff ilk olarak 2014’ün başlarında, Kuzey Kore’nin askeri operasyonlarını, nükleer operasyonlarını ve diğer hayati kaynaklarını desteklemek için mali kazanç elde etmeye yönelik Siber çabalarının başlangıcında keşfedildi.
Jamf Tehdit Laboratuvarları keşfi
BlueNoroff APT grubu tarafından yürütülen son kampanyanın, Jamf tarafından kötü amaçlı olarak sınıflandırılan bir alanla iletişim kuran bir Mach-O evrensel ikili programına sahip olduğu tespit edildi. Ayrıca yürütülebilir dosya VirusTotal’da tamamen tespit edilemedi.
Bağımsız ikili program, swissborg alanıyla iletişim kuran “ProcessRequest” olarak adlandırıldı.[.]Blog.
Benzer alan adı swissborg altında olan meşru bir kripto para borsası vardı[.]com. Buna ek olarak swissborg yolu altında bir de blogları var[.]com/blog.
İsviçreborg[.]blogun 31 Mayıs 2023 tarihinde kayıtlı olduğu ve 104.168.214 olarak çözümlendiği belirlendi[.]151 IP adresi.
Ayrıca, kötü amaçlı yazılımla iletişim kurduğu tespit edilen birkaç URL vardı. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için Komut ve Kontrol URL’sini iki ayrı dizeye böler ve bunları birleştirir.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Kötü Amaçlı Yazılım Analizi
Yeni kötü amaçlı yazılım çeşidi, Objective-C’de yazılmıştır ve tehdit aktörünün sunucusundan gelen komutları yürüten basit bir uzak kabuk olarak çalışır.
Ancak bu kötü amaçlı yazılım daha sonraki bir aşamada kullanıldı. Ancak güvenliği ihlal edilen sistemlere ilk erişim bilinmiyor.
Kötü amaçlı yazılım çalıştırıldığında, sendRequest işlevini çağırarak hXXp://swissborg.blog/zxcv/bnm adresine bir POST mesajı gönderir.
Ayrıca macOS sürümünü bulmak için OperatingSystemVersionString işlevini de kullanır. Kötü amaçlı yazılım ayrıca CFNetwork çerçeve sürümünü, DarwinVersion’ı ve diğer birçok hayati bilgiyi de algılar.
Kötü amaçlı yazılım, komut yürütmek için system() işlevini kullanıyor ve komutları yürütmek üzere sıraya koymak için C2 sunucusunun yanıtını NSLog aracılığıyla günlüğe kaydediyor.
Bu tehdit grubu ve kötü amaçlı yazılım hakkında, kötü amaçlı yazılım tarafından SHA değeri, kaynak kodu, RustBucket kampanyası ve ek bilgilerle ilgili ek bilgiler sağlayan eksiksiz bir rapor yayınlandı.
IoC’ler
79337ccda23c67f8cfd9f43a6d3cf05fd01d1588 - Universal Binarye2af7a895aef936c2761289acafe564b4dc7ba4e - Intel 8dc95be0cf52c64e3d6c519e356b0c3f0d729bd4 - Arm 588d84953ae992c5de61d3774ce86e710ed42d29 - Universal Binary bc33f1a6c345e0452056ec08d25611b85c350b2e - Intel 677b119edfa1335b6eb9b7307b034bee512dbc1a - Arm swissborg[.]blog - C2 Domain
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemesi için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.