Tehdit aktörlerinin, macOS dosyalarının genişletilmiş özelliklerini kötüye kullanarak yeni bir kötü amaçlı yazılım kaçırmak için yeni bir teknikten yararlandıkları tespit edildi. RustyAttr.
Singapurlu siber güvenlik şirketi, RustBucket da dahil olmak üzere önceki kampanyalarla bağlantılı olarak gözlemlenen altyapı ve taktiksel örtüşmeleri gerekçe göstererek, yeni faaliyeti orta derecede güvenle Kuzey Kore bağlantılı kötü şöhretli Lazarus Grubuna bağladı.
Genişletilmiş öznitelikler, xattr adı verilen özel bir komut kullanılarak çıkarılabilen dosya ve dizinlerle ilişkili ek meta verileri ifade eder. Genellikle dosya boyutu, zaman damgaları ve izinler gibi standart niteliklerin ötesine geçen bilgileri depolamak için kullanılırlar.
Group-IB tarafından keşfedilen kötü amaçlı uygulamalar, platformlar arası bir masaüstü uygulama çerçevesi olan Tauri kullanılarak oluşturuldu ve daha sonra Apple tarafından iptal edilen sızdırılmış bir sertifikayla imzalandı. Bir kabuk komut dosyasını alıp çalıştırmak üzere yapılandırılmış genişletilmiş bir öznitelik içerirler.
Kabuk betiğinin yürütülmesi aynı zamanda “Bu uygulama bu sürümü desteklemiyor” hata mesajını veya oyun projelerinin geliştirilmesi ve finansmanıyla ilgili görünüşte zararsız bir PDF belgesi görüntüleyerek dikkat dağıtma mekanizması görevi gören bir tuzağı da tetikler.
Group-IB güvenlik araştırmacısı Sharmine Low, “Uygulamayı çalıştırdıktan sonra, Tauri uygulaması WebView kullanarak bir HTML web sayfası oluşturmaya çalışıyor” dedi. ” [threat actor] internetten alınmış rastgele bir şablon kullandım.”
Ancak aynı zamanda dikkate değer olan şey, bu web sayfalarının kötü amaçlı bir JavaScript yükleyecek şekilde tasarlanmış olmasıdır; bu JavaScript daha sonra genişletilmiş özelliklerin içeriğini elde eder ve bunu bir Rust arka ucu aracılığıyla yürütür. Bununla birlikte, sahte web sayfası yalnızca genişletilmiş özelliklerin olmadığı durumlarda görüntülenir.
Kampanyanın nihai hedefi, özellikle de daha fazla yük veya mağdur olduğuna dair herhangi bir kanıt bulunmadığı gerçeği ışığında belirsizliğini koruyor.
Low, “Neyse ki macOS sistemleri bulunan örnekler için bir miktar koruma sağlıyor” dedi. “Saldırıyı tetiklemek için kullanıcıların, kötü amaçlı yazılım korumasını geçersiz kılarak Gatekeeper’ı devre dışı bırakması gerekiyor. Kurbanları bu adımları atmaya ikna etmek için muhtemelen bir dereceye kadar etkileşim ve sosyal mühendislik gerekli olacaktır.”
Bu gelişme, Kuzey Koreli tehdit aktörlerinin dünya çapındaki işletmelerle uzak konumları güvence altına almayı ve kripto para şirketlerinde çalışan mevcut çalışanları kodlama röportajları bahanesiyle kötü amaçlı yazılım indirmeleri için kandırmayı amaçlayan kapsamlı kampanyalara katılmasıyla ortaya çıktı.