Изследователи открехнаха завесата на актуализирана версия на зловреден софтуер за Apple macOS, наречен RustBucket, която е с подобрени възможности за установяване на устойчивост и избягване на откриването му от софтуера за сигурност.

„Този вариант на RustBucket, семейство зловреден софтуер, насочен към системи macOS, добавя възможности за устойчивост, които не са наблюдавани досега“, казват изследователите от Elastic Security Labs в доклад, публикуван тази седмица, като добавят, че той „използва методология за динамична мрежова инфраструктура за командване и контрол“.

RustBucket е дело на севернокорейскa групировка, известна като BlueNoroff, която е част от по-голям набор от прониквания, проследяван под името Lazarus Group, елитно хакерско звено, контролирано от Главното разузнавателно бюро (RGB), основната разузнавателна агенция на страната.

Зловредният софтуер излезе наяве през април 2023 г., когато Jamf Threat Labs го описа като базирана на AppleScript задна врата, способна да извлича полезен товар на втори етап от отдалечен сървър. Компанията Elastic следи тази дейност като REF9135.

Зловредният софтуер на втория етап, компилиран на Swift, е предназначен да изтегли от сървъра за командване и контрол (C2) основния зловреден софтуер – базиран на Rust двоичен файл с функции за събиране на обширна информация, както и за извличане и стартиране на допълнителни двоични файлове на Mach-O или шел скриптове на компрометираната система.

Това е първият случай на зловреден софтуер BlueNoroff, насочен конкретно към потребителите на macOS, въпреки че междувременно в дивата природа се появи .NET версия на RustBucket с подобен набор от функции.

„Тази неотдавнашна дейност на Bluenoroff илюстрира как наборите за проникване се обръщат към междуплатформен език в усилията си за разработване на зловреден софтуер, като допълнително разширяват възможностите си, което е много вероятно да разшири виктимологията им“, заяви френската компания за киберсигурност Sekoia в анализ на кампанията RustBucket в края на май 2023 г.

Веригата на заразяване се състои от инсталационен файл за macOS, който инсталира заден, но функционален PDF четец. Съществен аспект на атаките е, че злонамерената дейност се задейства само когато се стартира въоръжен PDF файл с помощта на измамния PDF четец. Първоначалният вектор на проникване включва фишинг имейли, както и използване на фалшиви личности в социални мрежи като LinkedIn.

Наблюдаваните атаки са силно целенасочени и фокусирани върху свързани с финансите институции в Азия, Европа и САЩ, което предполага, че дейността е насочена към генериране на незаконни приходи с цел избягване на санкции.

Това, което прави новоидентифицираната версия забележителна, е нейният необичаен механизъм за устойчивост и използването на динамичен DNS домейн (docsend.linkpc[.]net) за командване и управление, наред с включването на мерки, насочени към оставане под радара.

„В случая с този актуализиран образец на RustBucket той установява собствена устойчивост чрез добавяне на plist файл по пътя /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist и копира бинарния файл на зловредния софтуер по следния път /Users/<user>/Library/Metadata/System Update“, казват изследователите.

Източник: The Hacker News

Подобни публикации

24 април 2025

Възходът на ИИ -базирания полиморфен фишинг

Екипите по анализ на заплахите наблюдават значително увеличение на ...
24 април 2025

Уязвимост в Erlang/OTP поставя под риск редица ...

Cisco разследва въздействието на наскоро разкрита критична уязвимос...
24 април 2025

Marks & Spencer засегнат от кибератака по В...

Емблематичният британски търговец Marks & Spencer (M&S) е в...
24 април 2025

Над 350 000 пациенти засегнати от пробив в Onsi...

Американският доставчик на медицински услуги Onsite Mammography, оп...
23 април 2025

Кибератака парализира системите на град Абилин,...

Градът Абилин, Тексас, стана жертва на сериозна кибератака, която д...
23 април 2025

Уязвимост доведе до издаване на фалшиви SSL сер...

Уязвимост в процеса за валидация на домейн (Domain Control Validati...
23 април 2025

Proton66 подслонява мащабни кибератаки и зловре...

Изследователи по киберсигурност предупреждават, че руският автономе...
23 април 2025

Злоупотреба с Google Sites

Киберпрестъпници използват уязвимост в Google Sites, за да разпрост...
23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
Бъдете социални
Още по темата
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
24/04/2025

Над 350 000 пациенти засегн...

Американският доставчик на медицински услуги Onsite...
23/04/2025

Кибератака парализира систе...

Градът Абилин, Тексас, стана жертва на...
Последно добавени
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Уязвимост в Erlang/OTP пост...

Cisco разследва въздействието на наскоро разкрита...
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!