- 13,854
- 20
- 8 Ноя 2022
Мультиплатформенная угроза может красть пароли, шифровать файлы, удалять данные и устанавливать бэкдоры.
Исследователи Для просмотра ссылки Войдиили Зарегистрируйся обновленную версию вредоносной программы RustBucket, целевой аудиторией которой являются пользователи macOS. Эта версия отличается расширенными функциями для устойчивого проникновения в систему и обхода от обнаружения антивирусными решениями.
"Этот вариант RustBucket - часть семейства вредоносного ПО, нападающего на системы macOS - интегрирует функции постоянства, которые ранее в нем не встречались", - указывают специалисты из Elastic Security Labs в своем недавно опубликованном отчете. Они также подчеркивают, что обновленный RustBucket "применяет гибкую стратегию сетевой инфраструктуры для управления и координации своих действий"
RustBucket представляет собой инструментарий, разработанный северокорейским актором киберугроз, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны.
Вредоносная программа Для просмотра ссылки Войдиили Зарегистрируйся в апреле 2023 года, когда Jamf Threat Labs описали ее как AppleScript-основанный бэкдор, способный получать вторичную полезную нагрузку с удаленного сервера. Elastic отслеживает эту активность как REF9135.
Вторичная вредоносная программа, скомпилированная на Swift, предназначена для загрузки с сервера командно-контрольного центра основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе.
Это первый случай, когда вредоносная программа BlueNoroff специально нацелена на пользователей macOS, хотя с тех пор в дикой природе появилась версия RustBucket на .NET с аналогичным набором функций.
"Недавняя активность хакерской группы Bluenoroff наглядно демонстрирует, как они используют кроссплатформенный язык в своих атаках, целью которых является разработка вредоносного программного обеспечения. Такой подход, вероятнее всего, направлен на расширение возможностей и увеличение числа потенциальных жертв", - указывается в аналитическом обзоре кампании RustBucket, проведенном французской компанией по кибербезопасности Sekoia в конце мая 2023 года.
Цепочка заражения состоит из файла установщика macOS, который устанавливает поддельный, но функциональный PDF-ридер. Значительный аспект атак заключается в том, что злонамеренная активность запускается только при запуске зараженного PDF-файла с помощью поддельного PDF-ридера. Начальный вектор проникновения включает фишинговые письма, а также использование поддельных учетных записей в социальных сетях.
Замеченные атаки характеризуются высокой целенаправленностью и преимущественно фокусируются на финансовых учреждениях в Азии, Европе и США. Это указывает на то, что данный тип активности нацелен на незаконное получение доходов в обход санкций.
Выделяющейся особенностью новой идентифицированной версии является необычный механизм постоянства и использование динамического DNS домена (docsend.linkpc[.]net) для управления и контроля, в сочетании с мерами, направленными на минимизацию видимости их действий.
“В случае обновленного образца RustBucket он устанавливает свое собственное постоянство, добавляя файл plist по пути /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist, и он копирует двоичный файл вредоносной программы по следующему пути /Users/<user>/Library/Metadata/System Update”, - говорят исследователи.
Исследователи Для просмотра ссылки Войди
"Этот вариант RustBucket - часть семейства вредоносного ПО, нападающего на системы macOS - интегрирует функции постоянства, которые ранее в нем не встречались", - указывают специалисты из Elastic Security Labs в своем недавно опубликованном отчете. Они также подчеркивают, что обновленный RustBucket "применяет гибкую стратегию сетевой инфраструктуры для управления и координации своих действий"
RustBucket представляет собой инструментарий, разработанный северокорейским актором киберугроз, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны.
Вредоносная программа Для просмотра ссылки Войди
Вторичная вредоносная программа, скомпилированная на Swift, предназначена для загрузки с сервера командно-контрольного центра основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе.
Это первый случай, когда вредоносная программа BlueNoroff специально нацелена на пользователей macOS, хотя с тех пор в дикой природе появилась версия RustBucket на .NET с аналогичным набором функций.
"Недавняя активность хакерской группы Bluenoroff наглядно демонстрирует, как они используют кроссплатформенный язык в своих атаках, целью которых является разработка вредоносного программного обеспечения. Такой подход, вероятнее всего, направлен на расширение возможностей и увеличение числа потенциальных жертв", - указывается в аналитическом обзоре кампании RustBucket, проведенном французской компанией по кибербезопасности Sekoia в конце мая 2023 года.
Цепочка заражения состоит из файла установщика macOS, который устанавливает поддельный, но функциональный PDF-ридер. Значительный аспект атак заключается в том, что злонамеренная активность запускается только при запуске зараженного PDF-файла с помощью поддельного PDF-ридера. Начальный вектор проникновения включает фишинговые письма, а также использование поддельных учетных записей в социальных сетях.
Замеченные атаки характеризуются высокой целенаправленностью и преимущественно фокусируются на финансовых учреждениях в Азии, Европе и США. Это указывает на то, что данный тип активности нацелен на незаконное получение доходов в обход санкций.
Выделяющейся особенностью новой идентифицированной версии является необычный механизм постоянства и использование динамического DNS домена (docsend.linkpc[.]net) для управления и контроля, в сочетании с мерами, направленными на минимизацию видимости их действий.
“В случае обновленного образца RustBucket он устанавливает свое собственное постоянство, добавляя файл plist по пути /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist, и он копирует двоичный файл вредоносной программы по следующему пути /Users/<user>/Library/Metadata/System Update”, - говорят исследователи.
- Источник новости
- www.securitylab.ru
