Kuzey Koreli Hackerlar macOS Silahlı Belgelere Saldırıyor

Bilgisayar korsanları, yazılımdaki güvenlik açıklarından yararlanmak için genellikle silah haline getirilmiş belgeler kullanır ve bu da kötü amaçlı kodların yürütülmesine olanak tanır.

Tüm bu belgeler, genellikle tanıdık dosyalar olarak gizlenen, bilgisayar korsanlarının yetkisiz erişim elde etmesine ve hedeflerine kötü amaçlı yazılım dağıtmasına yardımcı olan kötü amaçlı kod veya makrolar içerir.

Son zamanlarda SentinelOne’daki siber güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanlarının silahlı belgeler kullanarak macOS’a aktif olarak saldırdığını bildirdi.

Bilgisayar korsanları macOS’a saldırıyor

Kuzey Koreli tehdit aktörleri 2023’te iki büyük kampanyayla macOS’a odaklandı. Aşağıda bu büyük kampanyalardan bahsettik:-

RustBucket, Rust tarafından yazılmış ikinci aşama bir kötü amaçlı yazılım sunmak için PDF Görüntüleyici kılığına giren ‘SwiftLoader’ı kullandı.

KandyKorn kampanyasında Python komut dosyaları, blockchain mühendislerini hedef aldı ve ana bilgisayarlardaki Discord uygulamasını ele geçirdikten sonra ‘KandyKorn’ adlı bir C++ arka kapı RAT’ı sundu.

Beş aşamalı bir saldırı, kullanıcıları kötü amaçlı bir Python uygulamasını indirmeleri için kandırmak amacıyla sosyal mühendislik kullanarak Discord aracılığıyla kullanıcıları hedef aldı.

Bu Python uygulaması, Çapraz Platform “Bridges.zip” olarak dağıtılan bir kripto arbitraj botu olarak gizlenmiştir ve uygulama birkaç zararsız Python komut dosyası içermektedir.

Aşağıda tüm aşamalardan bahsettik: –

• Aşama 0: Bu aşamada Discord kullanıcısı, kötü amaçlı bir Python uygulaması olan Cross-Platform Bridges.zip’i indirmesi için kandırılıyor. Daha sonra kötü amaçlı yazılım bağlantıları doğrudan mesaj yoluyla gönderilir ve Google Drive’da barındırılır. Daha sonra uygulamanın Main.py betiği bir modül olarak Watcher.py’yi içe aktarır.

• 1. Aşama: Bu aşamada Watcher.py, Python sürümünü doğrular ve FinderTools’u indirip çalıştıran testSpeed.py’yi çalıştırır. Çalıştırıldıktan sonra testSpeed.py kaldırılır ve ardından “FinderTools”, /Users/Shared/FinderTools konumuna kaydedilir.

• 2. aşama: Bu aşamada FinderTools, SUGARLOADER’ı /Users/Shared/.sld adresinden çalıştırarak /Applications/Discord.app/Contents/MacOS/ dizinine .log ve uygulama adı olarak kopyalar. C++ ile kodlanan SUGARLOADER, /Library/Caches/com.apple.safari.ck adresinde bir yapılandırma dosyası arar, yoksa C2’den indirir. Bundan sonra FinderTools, siber güvenlik araştırmacıları tarafından gözlemlenen izinsiz girişte C2 tp.globa.xyz’yi bağlar.

• Sahne 3: Bu aşamada SUGARLOADER, HLOADER’ı indirir, orijinal Discord’un yerine geçer ve /Applications/Discord.app/Contents/MacOS/Discord’da gizli bir kalıcılık mekanizması kurar. HLOADER, kendisini akıllıca MacOS.tmp olarak gizleyerek Discord’un yanı sıra sürekli olarak tespit edilmeden yürütülmesini sağlar. Apple’ın oturum açma öğesi izleme özelliği, bu akıllı yeniden adlandırma/yeniden yükleme stratejisinden habersiz kalarak kalıcılığı artırır.

• Aşama 4: Bu aşamada SUGARLOADER, com.apple.safari.ck adresinden NSCreateObjectFileImageFromMemory ve NSLinkModule aracılığıyla KANDYKORN’u getirmek ve çalıştırmak için C2 URL’sini alır. UnionCryptoTrader’da (2019) görülen, Kuzey Kore’ye ait bir macOS kötü amaçlı yazılım tekniğidir.

Kuzey Koreli tehdit aktörlerinin Swift tabanlı SecurePDF Viewer.app uygulamasını kullanan RustBucket adında gelişen bir kampanyası var. “BBQ BAZAAR PRIVATE LIMITED” tarafından imzalanmıştır ve docs-send.online’a ulaşmaktadır.

“Northwest Tech-Con Systems Ltd” tarafından imzalanan diğer bir varyant olan Crypto-assets app.zip, on-global.xyz’ye bağlanarak /Users/Shared/.pw konumuna yürütülebilir bir dosya bırakır.

KandyKorn ile ilişkili bu .pw dosyası, KandyKorn RAT ile eşleşen /Users/Shared/.pld referansına sahiptir ve paylaşılan altyapıyı, hedefleri ve TTP’leri gösterir.

IOC’ler

ŞEKER YÜKLEYİCİ

• d28830d87fc71091f003818ef08ff0b723b3f358

YÜKLEYİCİ

• 43f987c15ae67b1183c4c442dc3b784faf2df090

ŞEKER MISIR DİREKSİYON

• 26ec4630b4d1116e131c8e2002e9a3ec7494a5cf
• 46ac6dc34fc164525e6f7886c8ed5a79654f3fd3
• 62267b88fa6393bc1f1eeb778e4da6b564b7011e
• 8d5d214c490eae8f61325839fcc17277e514301e
• 8f6c52d7e82fbfdead3d66ad8c52b372cc9e8b18
• 9f97edbc1454ef66d6095f979502d17067215a9d
• ac336c5082c2606ab8c3fb023949dfc0db2064d5
• c45f514a252632cb3851fe45bed34b175370d594
• ce3705baf097cd95f8f696f330372dd00996d29a
• e244ff1d8e66558a443610200476f98f653b8519
• e68bfa72a4b4289a4cc688e81f9282b1f78ebc1f
• e77270ac0ea05496dd5a2fbccba3e24eb9b863d9

ObjCShell

• 79337ccda23c67f8cfd9f43a6d3cf05fd01d1588

SecurePDF Görüntüleyici

• a1a8a855f64a6b530f5116a3785a693d78ec09c0
• e275deb68cdff336cb4175819a09dbaf0e1b68f6

Kripto varlıklar ve finansal istikrara yönelik riskleri.app

• 09ade0cb777f4a4e0682309a4bc1d0f7d4d7a036
• 5c93052713f317431bf232a2894658a3a4ebfad9
• 884cebf1ad0e65f4da60c04bc31f62f796f90d79
• be903ded39cbc8332cefd9ebbe7a66d95e9d6522

İndirici

• 060a5d189ccf3fc32a758f1e218f814f6ce81744

Uzaktan barındırılan AppleScript

• 3c887ece654ea46b1778d3c7a8a6a7c7c7cfa61c
• c806c7006950dea6c20d3d2800fe46d9350266b6

Ağ İletişimi

• http[:]//docs-send.online/getBalance/usdt/ethereum
• https[:]//drive.google[.]com/file/d1KW5nQ8MZccug6Mp4QtKyWLT3HIZzHNIL2
• http[:]//globalde[.]xyz/Of56cYsfVV8/OJITWH2WFx/Jy5S7hSx0K/fP7saoiPBc/A%3D%3D
• http[:]//tp-küre[.]xyz/OdhLca1mLUp/lZ5rZPxWsh/7yZKYQI43S/fP7savDX6c/bfC
• http[:]//İsviçre[.]blog/zxcv/bnm

• 23.254.226[.]90
• 104.168.214[.]151
• 142.11.209[.]144
• 192.119.64[.]43

Dosya yolları

• /Applications/Discord.app/Contents/MacOS/.log
• /Applications/Discord.app/Contents/MacOS/appname
• /Library/Caches/com.apple.safari.ck
• /tmp/tempXXXXXX
• /Kullanıcılar/Paylaşılan/.pld
• /Kullanıcılar/Paylaşılan/.pw
• /Kullanıcılar/Paylaşılan/.sld

14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.