ΑρχικήsecurityΗ ομάδα BlueNoroff στοχεύει Apple συσκευές με το νέο RustBucket macOS malware

Η ομάδα BlueNoroff στοχεύει Apple συσκευές με το νέο RustBucket macOS malware

Ο βορειοκορεάτης απειλητικός παράγοντας BlueNoroff γνωστός για τα οικονομικά κίνητρα του θεωρείται ύποπτος για την ύπαρξη ενός νέου στελέχους κακόβουλου λογισμικού Apple macOS με την ονομασία RustBucket.

Η ομάδα BlueNoroff στοχεύει Apple συσκευές με το νέο RustBucket macOS malware

Η εταιρεία διαχείρισης συσκευών της Apple το απέδωσε σε έναν απειλητικό παράγοντα γνωστό ως BlueNoroff, μια υποομάδα του διαβόητου συμπλέγματος Lazarus, το οποίο παρακολουθείται επίσης με τα ψευδώνυμα APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima και TA444.

Οι συνδέσεις προκύπτουν από τακτικές και υποδομές που επικαλύπτονται με μια προηγούμενη εκστρατεία που αποκαλύφθηκε από τη ρωσική εταιρεία ασφάλειας στον κυβερνοχώρο Kaspersky στα τέλη Δεκεμβρίου του 2022, η οποία πιθανότατα στόχευε ιαπωνικές οικονομικές οντότητες χρησιμοποιώντας ψεύτικους τομείς που παρίσταναν τις εταιρείες επιχειρηματικών κεφαλαίων.

Η BlueNoroff, σε αντίθεση με τις άλλες οντότητες που αποτελούν τον όμιλο Lazarus, είναι γνωστή για τις εξελιγμένες ληστείες στον κυβερνοχώρο με στόχο το σύστημα SWIFT, καθώς και τα crypto exchanges, ως μέρος ενός συνόλου εισβολών που παρακολουθείται ως CryptoCore.

Νωρίτερα μέσα στην χρονιά, το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) ενέπλεξε τον απειλητικό παράγοντα στην κλοπή 100 εκατομμυρίων δολαρίων σε περιουσιακά στοιχεία κρυπτονομισμάτων από την Harmony Horizon Bridge τον Ιούνιο του 2020.

Το ρεπερτόριο επιθέσεων της BlueNoroff λέγεται επίσης ότι έχει υποστεί σημαντική αλλαγή τους τελευταίους μήνες, με την ομάδα να χρησιμοποιεί δολώματα με θέμα την εργασία για να εξαπατήσει τους παραλήπτες email ώστε να εισάγουν τα credentials τους σε ψεύτικες σελίδες landing.

Το κακόβουλο λογισμικό macOS που εντοπίστηκε από το Jamf μεταμφιέζεται ως εφαρμογή “Internal PDF Viewer” για να ενεργοποιήσει τη μόλυνση. Αξίζει να σημειωθεί, ωστόσο, ότι η επιτυχία της επίθεσης βασίζεται στο ότι το θύμα παρακάμπτει χειροκίνητα τις προστασίες του Gatekeeper.

Στην πραγματικότητα, πρόκειται για ένα αρχείο AppleScript που έχει σχεδιαστεί για να ανακτήσει ένα ωφέλιμο φορτίο δεύτερου σταδίου από έναν απομακρυσμένο server, το οποίο φέρει επίσης το ίδιο όνομα με τον προκάτοχό του. Και οι δύο κακόβουλες εφαρμογές είναι υπογεγραμμένες με μια ad-hoc υπογραφή.

Το ωφέλιμο φορτίο του δεύτερου σταδίου, γραμμένο σε Objective-C, είναι μια βασική εφαρμογή που προσφέρει τη δυνατότητα προβολής αρχείων PDF και ξεκινά την επόμενη φάση της αλυσίδας επίθεσης μόνο όταν ένα παγιδευμένο αρχείο PDF ανοίξει με τη χρήση της εφαρμογής.

Ένα τέτοιο εννιασέλιδο έγγραφο PDF, το οποίο εντοπίστηκε από την Jamf, ισχυρίζεται ότι προσφέρει μια “επενδυτική στρατηγική”, η οποία, όταν ξεκινήσει, επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (C2) για να κατεβάσει και να εκτελέσει ένα trojan τρίτου σταδίου, ένα εκτελέσιμο αρχείο Mach-O γραμμένο σε Rust, το οποίο διαθέτει δυνατότητες εκτέλεσης εντολών αναγνώρισης του συστήματος.

BlueNoroff

Προς το παρόν δεν είναι σαφές πώς αποκτήθηκε η αρχική πρόσβαση και αν οι επιθέσεις ήταν επιτυχείς, αλλά η εξέλιξη αυτή είναι ένα σημάδι ότι οι απειλητικοί φορείς προσαρμόζουν τα σύνολα εργαλείων τους για να προσαρμόσουν κακόβουλο λογισμικό πολλαπλών πλατφορμών χρησιμοποιώντας γλώσσες προγραμματισμού όπως η Go και η Rust.

Τα ευρήματα έρχονται επίσης μετά από μια πολυάσχολη περίοδο επιθέσεων που ενορχηστρώθηκαν από την ομάδα Lazarus, με στόχο οργανισμούς σε διάφορες χώρες και βιομηχανικές καθετοποιήσεις για τη συλλογή στρατηγικών πληροφοριών και την πραγματοποίηση κλοπής κρυπτονομισμάτων.

Η ομάδα Lazarus (επίσης γνωστή ως Hidden Cobra και Diamond Sleet) δεν είναι τόσο μια ξεχωριστή οργάνωση, όσο ένας όρος ομπρέλα για ένα μείγμα κρατικά χρηματοδοτούμενων και εγκληματικών ομάδων hacking που αποτελούν μέρος του Reconnaissance General Bureau (RGB), του κύριου μηχανισμού εξωτερικών πληροφοριών της Βόρειας Κορέας.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS