Kuzey Koreli bilgisayar korsanları, kimlik avı e-postaları ve macOS’a özgü yeni kötü amaçlı yazılımlarla kriptoyla ilgili işletmeleri hedefliyor.
Kriptoyla ilgili kimlik avı kampanyası
SentinelLabs araştırmacıları, Temmuz 2024’ten bu yana, Bitcoin fiyatının yükselişiyle ilgili riskler hakkında yararlı bilgiler içeren kimlik avı e-postalarının kripto para birimiyle ilgili sektörlerdeki hedeflenen kurbanlara gönderildiğini tespit etti.
Kimlik avı e-postası (Kaynak: SentinelLabs)
E-posta, alıcıdan bir PDF dosyası indirmek için “Aç” düğmesini tıklamasını ister ancak bunu yapmak, “Bitcoin Price.app’in Yeni Dalgalanmasının Arkasındaki Gizli Risk” adlı kötü amaçlı bir macOS uygulama paketinin indirilmesini tetikleyecektir.
Uygulama başlatıldığında, bu yılın başlarında yayınlanan gerçek bir araştırma makalesini içeren sahte bir PDF dosyasını indirip açıyor. Eş zamanlı olarak ve gizlice, sabit kodlanmış bir URL’den kötü amaçlı bir ikili dosya indirip çalıştırır.
Kötü amaçlı yazılım
PDF’nin aslında bir uygulama olduğunu fark edip onu başlatan alıcılar, kötü amaçlı uygulama paketinin bir Apple Geliştirici Programı üyesi tarafından imzalanıp noter tasdikli olması nedeniyle macOS’tan herhangi bir uyarı almayacak. (Geliştirici imzası daha sonra Apple tarafından iptal edildi.)
“Geçerli bir kod imzası ve noter onayı, Gatekeeper’a dosyanın çalıştırılmasının güvenli olduğunu söyler. Apple’ın XProtect veya XProtectRemediator’da herhangi bir kural yoktur [a malware removal tool] SentinelLabs Kıdemli Araştırmacısı Phil Stokes, Help Net Security’ye şunları söyledi:
Kötü amaçlı uygulama, ilk aşamadaki damlatıcı işlevi görür. İndirdiği kötü amaçlı yazılım, araştırmacılara göre “yalnızca Rosetta emülasyon çerçevesinin yüklü olduğu Intel mimarili Mac’lerde veya Apple silikon cihazlarda çalışacak” bir Mach-O x86-64 çalıştırılabilir dosyasıdır.
Yürütülebilir dosya, hedef sistem üzerinde kalıcılığını sağlayabilen, ana sistem ve üzerinde çalışan işlemler hakkında bilgi toplayıp gönderebilen, saldırganların kullandığı komuta kontrol (C2) sunucusundan aldığı komutları yürütebilen yeni bir arka kapıdır. .
Stokes bize şunları söyledi: “Bu arka kapıya “RustBucket” adını vermiyoruz çünkü önemli farklılıklar var (birincisi, Rust’ta yazılmamış).
“Arka kapıya şu anda halka açık bir isim vermedik. Daha geniş bir ailenin parçası mı yoksa özel bir yapının parçası mı olduğunu belirlemek için daha fazla örnek aramaya devam ediyoruz.”
Yeni TTP’ler
Bu kampanyayla ilişkili kötü amaçlı yazılım eserleri ve ağ altyapısı, Kuzey Koreli Lazarus APT’nin mali amaçlı izinsiz girişlere odaklanan bir alt grubu olan BlueNoroff’a işaret ediyor.
Grubun taktikleri, teknikleri ve prosedürleri zamanla değişir. Örneğin bu kampanyada, ilk bulaşmayı sağlamak için sosyal medya aracılığıyla hedefleri “temizlemek” yerine e-posta kimlik avı yaklaşımına geçtiler.
“Daha öncekilere olan ilginin arttığını tahmin edebiliriz. [Democratic People’s Republic of Korea] Belki de DeFi, ETF ve kripto ile ilgili diğer sektörlerdeki hedeflenen hedeflerin daha ihtiyatlı hale gelmesinin bir sonucu olarak, kampanyalar önceki ‘sosyal medya düzenleme’ girişimlerinin etkinliğini azaltabilirdi; ancak bu tür devlet destekli tehdit aktörlerinin yeterli bilgiye sahip olması da aynı derecede muhtemeldir. araştırmacılar, aynı anda birden fazla stratejiyi takip etmek için kaynaklara ihtiyaç duyduklarını belirtti.
Başka bir yeni numara, kötü amaçlı bir Zshenv (Z kabuğu yapılandırması) dosyası yükleyerek daha güçlü bir kalıcılık biçiminin kullanılmasıdır.
“Etkileşimli veya etkileşimli olmayan herhangi bir Zsh oturumu, kendisine yazılan komutları yürütecektir. ~/.zshenv. Bu kötü amaçlı yazılım durumunda, komutlar birinci aşamadaki damlalık tarafından diske daha önce yazılan arka kapıyı başlatır,” diyen Stokes, Help Net Security’ye söyledi ve arka kapı kaldırılırsa kalıcılık mekanizmasının onu yeniden yükleyemeyeceğini ekledi. .
Bu teknik, Apple’ın macOS 13’te (Ventura) arka planda Oturum Açma Öğeleri için kullanıcı bildirimleri sunması nedeniyle özellikle değerlidir.
“Apple’ın bildirimi, özellikle sıklıkla kötüye kullanılan LaunchAgent’lar ve LaunchDaemon’lar olmak üzere bir kalıcılık yöntemi yüklendiğinde kullanıcıları uyarmayı amaçlıyor. Ancak Zshenv’in kötüye kullanılması, macOS’un mevcut sürümlerinde böyle bir bildirimi tetiklemiyor” diye açıkladı araştırmacılar.
Kuzey Koreli bilgisayar korsanları için sabit kalan şey, kötü amaçlı yazılımı imzalamak için Apple geliştirici hesaplarının kötüye kullanılmasıdır; bu da MacOS’un yerleşik korumalarının atlanabileceği anlamına gelir.
Stokes’un hem kuruluşların filolarındaki macOS cihazlarına hem de bireysel Mac kullanıcılarına tavsiyesi, Apple’ın mevcut güvenlik teknolojilerini saygın son kullanıcı üçüncü taraf güvenlik yazılımlarıyla desteklemeleridir.