Bilgisayar korsanları, yazılımdaki güvenlik açıklarından yararlanmak için genellikle silah haline getirilmiş belgeler kullanır ve bu da kötü amaçlı kodların yürütülmesine olanak tanır.
Tüm bu belgeler, genellikle tanıdık dosyalar olarak gizlenen, bilgisayar korsanlarının yetkisiz erişim elde etmesine ve hedeflerine kötü amaçlı yazılım dağıtmasına yardımcı olan kötü amaçlı kod veya makrolar içerir.
Son zamanlarda SentinelOne’daki siber güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanlarının silahlı belgeler kullanarak macOS’a aktif olarak saldırdığını bildirdi.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Bilgisayar korsanları macOS’a saldırıyor
Kuzey Koreli tehdit aktörleri 2023’te iki büyük kampanyayla macOS’a odaklandı. Aşağıda bu büyük kampanyalardan bahsettik:-
RustBucket, Rust tarafından yazılmış ikinci aşama bir kötü amaçlı yazılım sunmak için PDF Görüntüleyici kılığına giren ‘SwiftLoader’ı kullandı.
KandyKorn kampanyasında Python komut dosyaları, blockchain mühendislerini hedef aldı ve ana bilgisayarlardaki Discord uygulamasını ele geçirdikten sonra ‘KandyKorn’ adlı bir C++ arka kapı RAT’ı sundu.
Beş aşamalı bir saldırı, kullanıcıları kötü amaçlı bir Python uygulamasını indirmeleri için kandırmak amacıyla sosyal mühendislik kullanarak Discord aracılığıyla kullanıcıları hedef aldı.
Bu Python uygulaması, Çapraz Platform “Bridges.zip” olarak dağıtılan bir kripto arbitraj botu olarak gizlenmiştir ve uygulama birkaç zararsız Python komut dosyası içermektedir.
Aşağıda tüm aşamalardan bahsettik: –
- Aşama 0: Bu aşamada Discord kullanıcısı, kötü amaçlı bir Python uygulaması olan Cross-Platform Bridges.zip’i indirmesi için kandırılıyor. Daha sonra kötü amaçlı yazılım bağlantıları doğrudan mesaj yoluyla gönderilir ve Google Drive’da barındırılır. Daha sonra uygulamanın Main.py betiği bir modül olarak Watcher.py’yi içe aktarır.
- 1. Aşama: Bu aşamada Watcher.py, Python sürümünü doğrular ve FinderTools’u indirip çalıştıran testSpeed.py’yi çalıştırır. Çalıştırıldıktan sonra testSpeed.py kaldırılır ve ardından “FinderTools”, /Users/Shared/FinderTools konumuna kaydedilir.
- 2. aşama: Bu aşamada FinderTools, SUGARLOADER’ı /Users/Shared/.sld adresinden çalıştırarak /Applications/Discord.app/Contents/MacOS/ dizinine .log ve uygulama adı olarak kopyalar. C++ ile kodlanan SUGARLOADER, /Library/Caches/com.apple.safari.ck adresinde bir yapılandırma dosyası arar, yoksa C2’den indirir. Bundan sonra FinderTools, siber güvenlik araştırmacıları tarafından gözlemlenen izinsiz girişte C2 tp.globa.xyz’yi bağlar.
- Sahne 3: Bu aşamada SUGARLOADER, HLOADER’ı indirir, orijinal Discord’un yerine geçer ve /Applications/Discord.app/Contents/MacOS/Discord’da gizli bir kalıcılık mekanizması kurar. HLOADER, kendisini akıllıca MacOS.tmp olarak gizleyerek Discord’un yanı sıra sürekli olarak tespit edilmeden yürütülmesini sağlar. Apple’ın oturum açma öğesi izleme özelliği, bu akıllı yeniden adlandırma/yeniden yükleme stratejisinden habersiz kalarak kalıcılığı artırır.
- Aşama 4: Bu aşamada SUGARLOADER, com.apple.safari.ck adresinden NSCreateObjectFileImageFromMemory ve NSLinkModule aracılığıyla KANDYKORN’u getirmek ve çalıştırmak için C2 URL’sini alır. UnionCryptoTrader’da (2019) görülen, Kuzey Kore’ye ait bir macOS kötü amaçlı yazılım tekniğidir.
Kuzey Koreli tehdit aktörlerinin Swift tabanlı SecurePDF Viewer.app uygulamasını kullanan RustBucket adında gelişen bir kampanyası var. “BBQ BAZAAR PRIVATE LIMITED” tarafından imzalanmıştır ve docs-send.online’a ulaşmaktadır.
“Northwest Tech-Con Systems Ltd” tarafından imzalanan diğer bir varyant olan Crypto-assets app.zip, on-global.xyz’ye bağlanarak /Users/Shared/.pw konumuna yürütülebilir bir dosya bırakır.
KandyKorn ile ilişkili bu .pw dosyası, KandyKorn RAT ile eşleşen /Users/Shared/.pld referansına sahiptir ve paylaşılan altyapıyı, hedefleri ve TTP’leri gösterir.
IOC’ler
ŞEKER YÜKLEYİCİ
- d28830d87fc71091f003818ef08ff0b723b3f358
YÜKLEYİCİ
- 43f987c15ae67b1183c4c442dc3b784faf2df090
ŞEKER MISIR DİREKSİYON
- 26ec4630b4d1116e131c8e2002e9a3ec7494a5cf
- 46ac6dc34fc164525e6f7886c8ed5a79654f3fd3
- 62267b88fa6393bc1f1eeb778e4da6b564b7011e
- 8d5d214c490eae8f61325839fcc17277e514301e
- 8f6c52d7e82fbfdead3d66ad8c52b372cc9e8b18
- 9f97edbc1454ef66d6095f979502d17067215a9d
- ac336c5082c2606ab8c3fb023949dfc0db2064d5
- c45f514a252632cb3851fe45bed34b175370d594
- ce3705baf097cd95f8f696f330372dd00996d29a
- e244ff1d8e66558a443610200476f98f653b8519
- e68bfa72a4b4289a4cc688e81f9282b1f78ebc1f
- e77270ac0ea05496dd5a2fbccba3e24eb9b863d9
ObjCShell
- 79337ccda23c67f8cfd9f43a6d3cf05fd01d1588
SecurePDF Görüntüleyici
- a1a8a855f64a6b530f5116a3785a693d78ec09c0
- e275deb68cdff336cb4175819a09dbaf0e1b68f6
Kripto varlıklar ve finansal istikrara yönelik riskleri.app
- 09ade0cb777f4a4e0682309a4bc1d0f7d4d7a036
- 5c93052713f317431bf232a2894658a3a4ebfad9
- 884cebf1ad0e65f4da60c04bc31f62f796f90d79
- be903ded39cbc8332cefd9ebbe7a66d95e9d6522
İndirici
- 060a5d189ccf3fc32a758f1e218f814f6ce81744
Uzaktan barındırılan AppleScript
- 3c887ece654ea46b1778d3c7a8a6a7c7c7cfa61c
- c806c7006950dea6c20d3d2800fe46d9350266b6
Ağ İletişimi
- http[:]//docs-send.online/getBalance/usdt/ethereum
- https[:]//drive.google[.]com/file/d1KW5nQ8MZccug6Mp4QtKyWLT3HIZzHNIL2
- http[:]//globalde[.]xyz/Of56cYsfVV8/OJITWH2WFx/Jy5S7hSx0K/fP7saoiPBc/A%3D%3D
- http[:]//tp-küre[.]xyz/OdhLca1mLUp/lZ5rZPxWsh/7yZKYQI43S/fP7savDX6c/bfC
- http[:]//İsviçre[.]blog/zxcv/bnm
- 23.254.226[.]90
- 104.168.214[.]151
- 142.11.209[.]144
- 192.119.64[.]43
Dosya yolları
- /Applications/Discord.app/Contents/MacOS/.log
- /Applications/Discord.app/Contents/MacOS/appname
- /Library/Caches/com.apple.safari.ck
- /tmp/tempXXXXXX
- /Kullanıcılar/Paylaşılan/.pld
- /Kullanıcılar/Paylaşılan/.pw
- /Kullanıcılar/Paylaşılan/.sld
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.