DPRK kampanyası, tespit edilmekten kaçınmak için Rustbucket kötü amaçlı yazılımının yakın zamanda güncellenen bir sürümünü kullanıyor.
RUSTBUCKET’in bu varyantı, macOS sistemlerini hedefler, daha önce gözlemlenmemiş kalıcılık yetenekleri ekler ve raporlama sırasında VirusTotal imza motorları tarafından tespit edilmez.
.png
)
Elastic Security Labs ekibi, daha önce Nisan 2023’te Jamf Threat Labs tarafından BlueNorOff grubuna atfedilen bir aile olan RUSTBUCKET kötü amaçlı yazılımının yeni bir varyantını tespit etti.
DPRK, kötü amaçlı siber faaliyetler yürütmekte ve gelir elde etmek için hileli bir şekilde iş bulan bilgi teknolojisi (BT) çalışanlarını görevlendirmektedir.
RUSTBUCKET Kötü Amaçlı Yazılım Bulaşma Zinciri
Araştırmaya göre, RUSTBUCKET kötü amaçlı yazılım ailesi aktif olarak geliştirilme aşamasındadır. Ek olarak, yayınlandığı tarihte, bu yeni değişken VirusTotal’da sıfır algılamaya sahiptir ve komuta ve kontrol için dinamik bir ağ altyapısı metodolojisinden yararlanmaktadır.
Komuta /usr/bin/osascript cURL kullanılarak C2’den Aşama 2 ikili dosyasının indirilmesinden sorumlu olan AppleScript’i çalıştırmak için kullanılmıştır.
Bu oturum, HTTP isteğinin gövdesinde pd dizesini ve User-Agent dizesi olarak cur1-agent’ı içerir. Aşama 2 ikili dosyasını /users/shared/.pd konumuna kaydeder,
Aşama 2 ikili dosyası (.pd), Swift’te derlenir ve komut satırı argümanlarına dayalı olarak çalışır. İkili, yürütüldüğünde ilk parametre olarak bir C2 URL’sinin sağlanmasını bekler.
Yürütme üzerine, bir POST HTTP isteği hazırlamaktan sorumlu olan downAndExec işlevini çağırır.
Bu isteği başlatmak için ikili, User-Agent dizesini mozilla/4.0 (uyumlu; msie 8.0; windows nt 5.1; trident/4.0) olarak ayarlar ve dizeyi içerir pw HTTP isteğinin gövdesinde.
Yürütme sırasında kötü amaçlı yazılım, çeşitli işlemler için belirli macOS API’lerini kullanır. Geçerli geçici klasörü elde etmek için NSFileManager’ın temporaryDirectory işleviyle başlar, ardından NSUUID’nin UUID.init yöntemini kullanarak rastgele bir UUID oluşturur.
Son olarak, kötü amaçlı yazılım, benzersiz bir dosya konumu oluşturmak için geçici dizin yolunu oluşturulan UUID ile birleştirir ve yükü buna yazar.
Yük diske yazıldıktan sonra kötü amaçlı yazılım, yürütülmesini başlatmak için NSTask’ı kullanır.
Sistem Bilgilerini Toplar
Kötü amaçlı yazılım, çalışma zamanında dinamik olarak 16 baytlık rastgele bir değer oluşturarak işlemlerini başlatır. Bu değer, etkin kötü amaçlı yazılımın belirli bir örneği için ayırt edici bir tanımlayıcı görevi görür. Ardından, kötü amaçlı yazılım aşağıdakiler dahil olmak üzere kapsamlı sistem bilgilerini toplamaya devam eder:
- Bilgisayar adı
- Aktif süreçlerin listesi
- Geçerli zaman dalgası
- Kurulum zaman damgası
- Sistem önyükleme süresi
- Sistemde çalışan tüm işlemlerin durumu
Kötü amaçlı yazılım, toplanan verileri bir POST isteği aracılığıyla ileterek C2 sunucusuyla ilk bağlantısını kurar. İsteğe, Mozilla/4.0 (uyumlu; MSIE 8.0; Windows NT 5.1; Trident/4.0) olarak biçimlendirilmiş bir User-Agent dizesi eşlik eder.
İsteği aldıktan sonra C2 sunucusu, kötü amaçlı yazılım için talimat görevi gören bir komut kimliği ile yanıt verir. Kötü amaçlı yazılım yalnızca iki komutu işlemek için tasarlanmıştır.
Komut Kimliği 0x31-kendi kendini sonlandırmak için
Komut Kimliği 0x30-Bu komut, operatörün kötü amaçlı Mach-O ikili dosyalarını veya kabuk komut dosyalarını sisteme yüklemesini ve bunları yürütmesini sağlar.
Kötü amaçlı yazılım, yüklenen dosyaya yürütme izinleri vererek ilerler. chmod API. Kötü amaçlı yazılım, yükü yürüttükten sonra sunucuya bir durum güncellemesi göndererek yürütmenin tamamlandığını bildirir ve ardından 60 saniye boyunca uyku moduna geçer.
Bu gecikmenin ardından kötü amaçlı yazılım, sistem bilgilerini toplamak için bir kez daha döngüye girer ve sunucudan bir sonraki komutun gelmesini bekleyerek bekleme durumunda kalır.
Kötü amaçlı yazılımın çok aşamalı bileşimi, Rust programlama dilinin kullanımına ve macOS’un hedeflenmesine ek olarak, tespit ve önlemeyi önemli bir zorluk haline getiriyor.
Uzlaşma göstergesi:
| 9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747 |
| 7fccc871c889a4f4c13a977fdd5f062d6de23c3ffd27e72661c986fae6370387 |
| ec8f97d5595d92ec678ffbf5ae1f60ce90e620088927f751c76935c46aa7dc41 |
| de81e5246978775a45f3dbda43e2716aaa1b1c4399fe7d44f918fccecc4dd500 |
| 4f49514ab1794177a61c50c63b93b903c46f9b914c32ebe9c96aa3cbc1f99b16 |
| fe8c0e881593cc3dfa7a66e314b12b322053c67cbc9b606d5a2c0a12f097ef69 |
| 7887638bcafd57e2896c7c16698e927ce92fd7d409aae698d33cdca3ce8d25b8 |
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.