Bilgisayar Korsanları MacOS Kullanıcılarına Siber Saldırılar Düzenliyor
Muhtemelen BlueNoroff ile ilişkilendirilen Kuzey Koreli hacker grupları, kripto para işletmelerini hedef alan çok aşamalı kötü amaçlı yazılım saldırıları başlattı ve araç setlerini RustDoor / ThiefBucket ve RustBucket siber saldırıları olacak şekilde genişletti.
Kuzey Kore’ye bağlı bir tehdit aktörü olan Gizli Risk, Zsh yapılandırma dosyası manipülasyonunu içeren yeni bir kalıcılık tekniği kullandı.
Kripto para birimi haberleri olarak gizlenen kötü amaçlı PDF ekleri, kripto ile ilgili işletmeleri tehlikeye atmayı amaçlayan yükü sağlamak için kullanıldı.
Kripto para birimi ile ilgili PDF belgeleri olarak gizlenen kimlik avı e-postaları, kurbanları genellikle meşru bireylere ve etkileyicilere yanlış atfedilen kötü amaçlı uygulamaları indirmeye çekmek için sosyal mühendislikten yararlanır. Ayrıca güvenilirliği artırmak ve güvenlik önlemlerini atlamak için gerçek araştırma makalelerinden yararlanırlar.
Kişiselleştirilmiş ayrıntılardan yoksun basit bir kimlik avı e-postası kullanır, gönderenin etki alanının bulunduğu önceki BlueNoroff taktiklerinin aksine, kalpadvisory[.] com, Hindistan borsa topluluklarındaki spam faaliyetleriyle bağlantılıdır.
Delphidigital’de görünüşte zararsız bir bağlantıya (Bitcoin ETF belgesi) sahip kimlik avı e-postası [.] org, Bilgisayar Korsanları MacOS kötü amaçlı yazılımını sunmak için dinamik olarak geçiş yapabilir.
Kötü amaçlı Swift uygulaması “Bitcoin Fiyatındaki Yeni Artışın Arkasındaki Gizli Risk.uygulama”, evrensel bir Mach-O yürütülebilir dosyası içeren ve iptal edilmiş bir Apple Geliştirici Kimliğiyle imzalanmış bir PDF kılığına girer.
macOS kötü amaçlı yazılımı, bir dayanak oluşturmak için sahte bir PDF’den yararlanır, ardından kodlanmış bir url’den kötü amaçlı bir x86-64 ikilisini indirip çalıştırır ve macos’un varsayılan HTTP güvenlik kısıtlamalarını değiştirilmiş bir Bilgi aracılığıyla atlar.plist dosyası.
X86-64 Mach-O arka kapısı ‘growth’, arka kapı etkinlikleri için çeşitli işlevlerden yararlanarak uzak komutları yürütmek üzere tasarlanmış 5,1 MB imzasız bir C ++ yürütülebilir dosyası olan Rosetta ile Intel Mac’leri ve Apple silicon cihazlarını hedefliyor.
‘Büyüme’ ikilisi, sym’yi kullanarak bir kalıcılık mekanizması başlatır._char__char_ işlevini yükleyin ve ardından işletim sistemi sürümü, donanım modeli, önyükleme zamanı, geçerli tarih ve çalışan işlemler gibi sistem bilgilerini toplar. Benzersiz bir 16 karakterlik UUID de oluşturulur.
C2 ve sistemle etkileşim kurmak için HTTP POST isteklerini ve dosya işlemlerini kullanarak ana bilgisayar verilerini alır, bir C2 sunucusuna gönderir, talimatlar alır, yürütür ve tekrarlar.
Daha önce RustBucket kötü amaçlı yazılımlarında ve benzer C2 yanıt ayrıştırma ve ProcessRequest işlevlerinde görülen ”mozilla / 4.0“ Kullanıcı Aracısı ve ”cur1 aracısı” tanımlayıcıları, geçmiş tehditlerle bir bağlantı olduğunu gösterir.
İlginizi çekebilecek yazımız: LiteSpeed Eklentisinde Yetki Yükseltme Açığı Ortaya Çıktı
SaveAndExec işlevi, yükten bir komut çıkaran, paylaşılan kullanıcı dizininde rastgele bir ada sahip gizli bir dosya oluşturan, izinlerini tam erişime ayarlayan ve komutu popen kullanarak yürüten bir C2 sunucusundan alınan kötü amaçlı yükleri işlerken.
Tehdit aktörü, macOS kullanıcı bildirimlerini atlayarak kalıcı arka kapı erişimi için Zshenv yapılandırma dosyasından yararlanır.
Tamamen yeni olmasa da, bu, kötü amaçlı yazılım yazarlarının ilk gözlemlenen kullanımına işaret ederek gizli ve etkili bir kalıcılık mekanizması sağlar.
BlueNoroff kampanyasıyla ilişkilendirilen BlueNoroff tehdit aktörü, kripto para birimi ve yatırım kuruluşları temalı bir altyapı ağı oluşturmak için NameCheap ve çeşitli barındırma hizmetlerinden yararlanıyor.
Sentinel Labs, gelecekteki potansiyel hedefler ve sahtecilik girişimleri de dahil olmak üzere altyapı ilişkilerini, DNS kayıtlarını ve toplu etki alanı aramalarını analiz ederek daha geniş bir faaliyet kümesi belirledi.
Haber Kaynağı: Cyber Security News