Οι χάκερ BlueNoroff που συνδέονται με τη Βόρεια Κορέα έχουν παρατηρηθεί να χρησιμοποιούν μια νέα οικογένεια κακόβουλου λογισμικού macOS σε πρόσφατες επιθέσεις, αποκαλύπτει η εταιρεία κυβερνοασφάλειας Jamf.
To Μεταγλωττισμένo RustBucket που είναι ικανό να φέρει πρόσθετα ωφέλιμα φορτία από τον διακομιστή εντολών και ελέγχου (C&C), έχει αποδοθεί στην προηγμένη επίμονη απειλής (APT) BlueNoroff, η οποία πιστεύεται ότι είναι μια υποομάδα του διαβόητου Lazarus Group hacking.
Ως μέρος των επιθέσεων που παρατηρήθηκαν, η BlueNoroff χρησιμοποίησε κακόβουλο λογισμικό σταδίου πρώτου που περιέχεται στην ανυπόγραφη εφαρμογή «Internal PDF Viewer.app» και έχει σχεδιαστεί για να ανακτά και να εκτελεί το ωφέλιμο φορτίο του δεύτερου σταδίου στο σύστημα.
Σύμφωνα με τους ερευνητές ασφαλείας του Jamf, η εφαρμογή Internal PDF Viewer δεν φαίνεται να εκτελείται εκτός εάν ο χρήστης παρακάμψει χειροκίνητα το Gatekeeper, κάτι που υποδηλώνει ότι οι εισβολείς βασίζονται στην κοινωνική μηχανική για να ξεγελάσουν τα θύματα για να αρχικοποιήσουν την αλυσίδα μόλυνσης.
Το φορτίο δεύτερου σταδίου είναι μια υπογεγραμμένη εφαρμογή που μεταμφιέζεται ως νόμιμο αναγνωριστικό πακέτου Apple. Εμφανίζει επίσης ένα αποκαλυπτικό PDF στο θύμα – που περιέχει πληροφορίες που λαμβάνονται από τον ιστότοπο μιας νόμιμης εταιρείας επιχειρηματικών κεφαλαίων.
Το κακόβουλο λογισμικό ξεκινά την επικοινωνία με τον διακομιστή C&C για να φέρει το ωφέλιμο φορτίο της τρίτης φάσης, το οποίο είναι ένα υπογεγραμμένο trojan γραμμένο στη γλώσσα Rust που μπορεί να εκτελεστεί τόσο σε αρχιτεκτονικές ARM όσο και σε x86.
Το κακόβουλο λογισμικό μπορεί να συγκεντρώσει πληροφορίες συστήματος, συμπεριλαμβανομένης μιας λίστας διεργασιών που εκτελούνται, την τρέχουσα ώρα και εάν εκτελείται σε μια εικονική μηχανή, και επιτρέπει στον εισβολέα να εκτελέσει διάφορες ενέργειες στα μολυσμένα μηχανήματα, λέει ο Jamf.
«Το κακόβουλο λογισμικό που χρησιμοποιείται εδώ δείχνει ότι καθώς το macOS αυξάνεται σε μερίδιο αγοράς, οι εισβολείς συνειδητοποιούν ότι ορισμένα θύματα θα είναι άνοσα εάν τα εργαλεία τους δεν ενημερωθούν ώστε να συμπεριλάβουν το οικοσύστημα της Apple. Η ομάδα Lazarus, η οποία έχει ισχυρούς δεσμούς με το BlueNoroff, έχει μακρά ιστορία επίθεσης στο macOS και είναι πιθανό να δούμε περισσότερες ομάδες APT να αρχίζουν να κάνουν το ίδιο», καταλήγει ο Jamf.