Sjevernokorejski hakeri, vjerovatno povezani s BlueNoroff-om, pokrenuli su višefazne napade malicioznog softvera usmjerene na poslovanje s kriptovalutama, proširujući svoj komplet alata na RustDoor/ThiefBucket i RustBucket kampanje.
Hidden Risk, haker povezan sa DNRK-om, koristio je novu tehniku postojanosti koja uključuje manipulaciju konfiguracijskim datotekama Zsh.
Maliciozni PDF prilozi prerušeni u vijesti o kriptovalutama korišteni su za isporuku korisnog tereta, s ciljem narušavanja poslovanja povezanih s kriptovalutama.
Phishing e-mailovi prerušeni u PDF dokumente koji se odnose na kriptovalute iskorištavaju društveni inženjering kako bi namamili žrtve da preuzmu maliciozne aplikacije koje se često pogrešno pripisuju legitimnim pojedincima i utjecajnim osobama. Oni također koriste prave istraživačke radove kako bi povećali kredibilitet i zaobišli sigurnosne mjere.
Koristi pojednostavljenu phishing e-poštu lišenu personaliziranih detalja, u suprotnosti s prethodnim BlueNoroff taktikama gdje je domen pošiljatelja, kalpadvisory[.]com, povezan sa neželjenim aktivnostima unutar indijskih berzanskih zajednica.
Phishing e-pošta sa naizgled bezopasnom vezom (Bitcoin ETF dokument) na delphidigital[.]org može se dinamički prebacivati kako bi isporučila macOS malver „Skriveni rizik“.
Zlonamjerna Swift aplikacija “Hidden Risk Behind New Surge of Bitcoin Price.app” prerušava se kao PDF, koji sadrži univerzalni Mach-O izvršni fajl i potpisan opozvanim Apple ID programera.
MacOS zlonamjerni softver koristi lažni PDF za uspostavljanje uporišta, zatim preuzima i izvršava maliciozni binarni x86-64 sa tvrdo kodiranog URL-a, zaobilazeći macOS-ova zadana HTTP sigurnosna ograničenja putem modifikovane datoteke Info.plist.
x86-64 Mach-O backdoor, ‘rast’, cilja na Intel Macove i Apple silikonske uređaje sa Rosettom, nepotpisanim C++ izvršnim fajlom od 5,1 MB dizajniranom za izvršavanje daljinskih komandi, koristeći različite funkcije za backdoor aktivnosti.
Binarni ‘rast’ pokreće mehanizam postojanosti koristeći funkciju sym.install_char__char_ i nakon toga prikuplja informacije o sistemu kao što su verzija OS-a, hardverski model, vrijeme pokretanja, trenutni datum i pokrenuti procesi. Također se generiše jedinstveni UUID od 16 znakova.
On dohvaća podatke hosta, šalje ih na C2 server, prima instrukcije, izvršava ih i ponavlja, koristeći HTTP POST zahteve i operacije sa datotekama za interakciju sa C2 i sistemom.
Identifikatori “mozilla/4.0” User-Agent i “cur1-agent”, koji su prethodno viđeni u RustBucket malveru i sličnim C2 funkcijama za raščlanjivanje odgovora i ProcessRequest, sugerišu vezu sa prošlim prijetnjama.
Dok funkcija SaveAndExec obrađuje maliciozne korisne podatke primljene od C2 servera, koji izvlači naredbu iz korisnog opterećenja, kreira skrivenu datoteku sa nasumičnim imenom u direktoriju dijeljenog korisnika, postavlja svoje dozvole na puni pristup i izvršava naredbu koristeći popen.
Haker koristi konfiguracijsku datoteku Zshenv za trajni backdoor pristup, zaobilazeći obavijesti korisnika macOS-a.
Iako nije sasvim novo, ovo označava prvu primjećenu upotrebu od strane autora malicioznog softvera, pružajući prikriveni i učinkoviti mehanizam postojanosti.
Glumac BlueNoroff prijetnje, povezan s kampanjom Hidden Risk, koristi NameCheap i razne usluge hostinga kako bi izgradio mrežu infrastrukture s temom oko kriptovaluta i investicijskih organizacija.
Sentinel Labs je identifikovao širi klaster aktivnosti analizom infrastrukturnih odnosa, DNS zapisa i grupnih pretraga domena, uključujući potencijalne buduće ciljeve i pokušaje lažiranja.
Izvor: CyberSecurityNews
