Siber güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanlığı grupları tarafından kullanılan bilinen kötü amaçlı yazılımlarla ortak özellikler gösterdiğini söyledikleri TodoSwift adı verilen yeni bir macOS kötü amaçlı yazılım türünü ortaya çıkardılar.
Kandji güvenlik araştırmacısı Christopher Lopez yaptığı analizde, “Bu uygulama, Kuzey Kore’de (DPRK) ortaya çıkan ve özellikle BlueNoroff olarak bilinen tehdit aktörü olan KANDYKORN ve RustBucket gibi kötü amaçlı yazılımlarla birçok davranışı paylaşıyor” dedi.
İlk olarak 2023 yılının Temmuz ayında ortaya çıkan RustBucket, bir komuta ve kontrol (C2) sunucusundan bir sonraki aşama yüklerini alabilen AppleScript tabanlı bir arka kapıyı ifade ediyor.
Geçtiğimiz yılın sonlarında Elastic Security Labs, ismi açıklanmayan bir kripto para borsası platformunun blok zinciri mühendislerini hedef alan bir siber saldırıyla bağlantılı olarak dağıtılan KANDYKORN adlı başka bir macOS kötü amaçlı yazılımını da ortaya çıkarmıştı.
Karmaşık çok aşamalı bir enfeksiyon zinciri aracılığıyla iletilen KANDYKORN, bir kurbanın bilgisayarından verilere erişme ve bunları sızdırma yeteneklerine sahiptir. Ayrıca, keyfi süreçleri sonlandırmak ve ana bilgisayarda komutları yürütmek için tasarlanmıştır.
İki kötü amaçlı yazılım ailesini birbirine bağlayan ortak bir özellik, linkpc’nin kullanımında yatmaktadır[.]net alan adları C2 amaçları için. Hem RustBucket hem de KANDYKORN’un Lazarus Group (ve alt kümesi BlueNoroff olarak bilinir) adlı bir hacker ekibinin işi olduğu değerlendiriliyor.
Elastic o dönemde yaptığı açıklamada, “DPRK, Lazarus Group gibi birimler aracılığıyla, ekonomilerinin ve hedeflerinin büyümesini engelleyen uluslararası yaptırımları aşmak amacıyla kripto para çalmak amacıyla kripto para sektöründeki işletmeleri hedef almaya devam ediyor” demişti.
“Bu saldırıda, kamuya açık bir sohbet sunucusunda faaliyet gösteren blockchain mühendislerini, yeteneklerine ve ilgi alanlarına hitap eden bir yemle hedef aldılar; altta yatan vaat ise maddi kazanç sağlamaktı.”
Apple cihaz yönetimi ve güvenlik platformunun son bulguları, TodoSwift’in bir dropper bileşeninden oluşan TodoTasks biçiminde dağıtıldığını gösteriyor.
Bu modül, kurbana silahlandırılmış bir PDF belgesi göstermek ve aynı zamanda gizlice ikinci aşama ikili dosyasını indirip çalıştırmak için tasarlanmış, SwiftUI’da yazılmış bir GUI uygulamasıdır; bu teknik RustBucket’ta da kullanılır.
Tuzak PDF, Google Drive’da barındırılan zararsız bir Bitcoin ile ilgili belgedir; oysa kötü amaçlı yük, aktör tarafından kontrol edilen bir etki alanından (“buy2x”) alınır.[.]com”). İkili dosyanın kesin özelliklerine ilişkin daha fazla araştırma devam ediyor.
Lopez, “Google Drive URL’sinin kullanılması ve C2 URL’sinin 2. aşama ikili dosyasına başlatma argümanı olarak geçirilmesi, macOS sistemlerini etkileyen önceki DPRK kötü amaçlı yazılımlarıyla tutarlıdır” dedi.