Bilgisayar korsanlarının macOS kusurlarından yararlanma sıklığı zaman içinde değişiklik gösteriyor ancak Apple, güvenlik açıklarını düzeltmek için sürekli olarak güvenlik güncellemeleri yayınlıyor.
MacOS genel olarak diğer bazı işletim sistemlerinden daha güvenli kabul edilse de istismara karşı bağışık değildir ve bilgisayar korsanları, özellikle yeni güvenlik açıkları keşfederlerse onu hedef alabilirler.
Son zamanlarda, Elastic Security Labs’taki siber güvenlik araştırmacıları, bilgisayar korsanlarının yeni bir macOS kötü amaçlı yazılımıyla bir kripto borsa platformunun blockchain mühendislerine aktif olarak saldırdığını tespit etti.
Yeni macOS Kötü Amaçlı Yazılım
İlk erişim ve kullanım sonrası için ihlalde özel ve açık kaynaklı araçlar kullanıldı. Discord doğrudan mesajında kripto bot kılığına girmiş bir Python uygulamasını içeren bir macOS uç noktasının analizi sırasında tespit edildi.
Finansal hizmetler sektörünü hedef alan son siber saldırı dalgasıyla Siber Dayanıklılığınızı sağlayın. Katılımcıların neredeyse %60’ı bir siber saldırının ardından tamamen iyileşebileceklerinden emin değil.
Yerinizi Kaydedin
Bu aktivite Kuzey Kore ile bağlantılıdır ve Lazarus Grubu ile benzerlikler paylaşmaktadır ve güvenlik analistleri aşağıdaki unsurları dikkate alarak bunu REF7001 olarak etiketlemiştir: –
- Teknikler
- Altyapı
- Sertifikalar
- Algılama kuralları
Kötü niyetli aktörler, kamuya açık bir Discord’da blockchain topluluğu üyeleri gibi davranarak bir kişiyi aldatıcı bir ZIP dosyası indirmeye kandırdı. Kurban bunu bir kripto arbitraj botu zannetti ve bu da başlangıçta bir uzlaşmaya yol açtı.
Bu, REF7001’in kötü amaçlı yazılım dizisinin başlangıcını işaret ediyordu ve sonuçta ‘KANDYKORN’a yol açıyordu:-
- Aşama 0 (İlk Uzlaşma) – Watcher.py
- Aşama 1 (Damlalık) – testSpeed.py ve FinderTools
- Aşama 2 (Yük) – .sld ve .log – SUGARLOADER
- Aşama 3 (Yükleyici)- Discord (sahte) – HLOADER
- Aşama 4 (Yük) – KANDYKORN
Hem aşama 3 hem de aşama 4 yürütülebilir dosyaları, tutarlı bir anahtar kullanarak C2 iletişimi için aynı şifrelenmiş RC4 protokolünü paylaşır. Bu örnekler, gönderme ve alma sistem çağrılarını sarar, göndermeden önce verileri şifreler ve işlemeden önce şifreyi çözer.
Başlatma sırasında kötü amaçlı yazılım ile C2 arasında bir el sıkışma meydana gelir ve el sıkışma başarısız olursa saldırı durdurulur.
İstemci C2’ye rastgele bir sayı gönderir, o da bir kez yanıt verir ve ardından istemci tarafından bir sorgulama hesaplanır ve sunucuya gönderilir.
Bağlantının ardından istemci kimliğini paylaşır ve sunucu komutlarını bekler. Değiştirilen tüm veriler tutarlı bir serileştirme modelini takip eder: –
- Uzunluk
- Yük
- Hataları izlemek için kodu döndür
REF7001, saldırganın ağ altyapısından yük ve yükleyiciler almasını içeriyordu. İlk kötü amaçlı yazılım arşivini bir blockchain Discord sunucusundaki bir Google Drive bağlantısı aracılığıyla dağıttılar.
Bunun yanı sıra REF7001 analizi sırasında iki adet C2 sunucusu tespit edilmiştir ve bunlar aşağıda belirtilmiştir:-
- tp-küre[.]xyz//OdhLca1mLUp/lZ5rZPxWsh/7yZKYQI43S/fP7savDX6c/bfC
- 23.254.226[.]90
Kuzey Kore’nin LAZARUS GRUBU, yaptırımlardan kaçınmak için çalınan paralar için kripto firmalarını hedef alıyor. Bir sohbet sunucusunda blockchain mühendislerini kandırıyorlar, para vaat ediyorlar ama etkileşimde bulunan kurbanlara bulaşıyorlar.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.