| 7 ноября 2023 г. — 7:31 PT
Исследователи в области безопасности раскрыли информацию о том, что, по всей видимости, новая разновидность печально известного вредоносного ПО RustBucket нацелена на системы macOS. Впервые обнаруженная в апреле, новая отчетность от Jamf Threat Labs подчеркивает, как эта атака продолжает развиваться и кто могут быть ее потенциальные цели.
RustBucket — это относительно новая форма вредоносного ПО, которая специально нацелена на пользователей Mac. Это разработка группы Advanced Persistent Threat (APT) из Северной Кореи под названием BlueNoroff, являющейся подгруппой известного киберпреступного предприятия страны Lazarus Group.
Во вторник эксперты по безопасности Apple из Jamf Threat Labs раскрыли подробности о том, что, по их мнению, является новой поздней стадией вредоносного ПО для macOS, отслеживаемого как ObjCShellz от BlueNoroff, которое тесно связано с RustBucket. «Поздняя стадия» относится к периоду после первоначального заражения и часто включает кражу данных, установление постоянства или боковое перемещение в сети.
По данным Jamf, BlueNoroff часто обращается к потенциальным жертвам под видом инвестора или охотника за талантами. Также не редкость, когда злоумышленники создают домены, которые выглядят как принадлежащие законной крипто-компании, чтобы смешаться с сетевой активностью.
Обнаружение ObjCShellz (вариант, похожий на RustBucket) произошло после того, как исследователи Jamf обнаружили универсальный бинарный файл macOS, обменивающийся данными с доменом, ранее классифицированным как вредоносный.
«Во время нашего анализа этот исполняемый файл оставался необнаруженным на VirusTotal, что вызвало наш интерес», — заявили в Jamf.
RustBucket компрометирует свои цели, используя различные методы, такие как фишинговые электронные письма, вредоносные веб-сайты и загрузки при первом посещении. После заражения вредоносное ПО обменивается данными с командными серверами (C2) для загрузки и выполнения различных полезных нагрузок. Однако наиболее неуловимой является его способность полностью необнаруженно проходить через антивирусные сканеры, такие как VirusTotal.
Именно это и сделала новая разновидность.
В попытке установить связь с C2-сервером нового варианта исследователи Jamf выполнили DNS-пивот от исходного вредоносного домена и обнаружили несколько дополнительных URL-адресов, используемых для связи. В конечном итоге они потерпели неудачу, и C2-сервер вскоре после этого немедленно отключился.
«За последние несколько месяцев Jamf Threat Labs обнаружила различные кампании вредоносного ПО, организованные этим неуловимым актором Advanced Persistent Threat с целью кражи цифровых активов у жертв», — заявил Джарон Брэдли, директор Jamf Threat Labs, в интервью 9to5Mac.
«Наши последние исследования проливают свет на ранее не сообщавшуюся часть вредоносного ПО, используемую BlueNoroff для установки скрытых каналов связи на скомпрометированных системах. Эта скрытная программа позволяет злоумышленникам отправлять и получать данные, пока жертва продолжает использовать свой компьютер, избегая обнаружения».
ObjCShellz и подобные варианты могут представлять серьезную угрозу для пользователей Mac. Однако есть несколько способов защитить себя.
- Самое главное: проявляйте осторожность при открытии вложений электронной почты, особенно если отправитель неизвестен. Вредоносное ПО может доставляться через зараженные вложения.
- Убедитесь, что вы используете последнюю версию macOS со всеми входящими в нее исправлениями безопасности. Это помогает устранить известные уязвимости, которые могут использовать вредоносные программы.
- Установите на свой Mac надежное антивирусное и анти-вредоносное программное обеспечение, которое также может обнаруживать и блокировать вредоносные веб-сайты. Хотя ObjCShellz действительно может проскользнуть незамеченным, всегда полезно иметь дополнительный уровень защиты на Mac.
Вы можете ознакомиться с полным отчетом Jamf о новой разновидности вредоносного ПО и просмотреть индикаторы компрометации здесь.