Güvenlik uzmanları, Apple cihazlarının sahte bir macOS PDF görüntüleyici gibi görünen yeni bir kötü amaçlı yazılım varyantıyla hedef alındığı konusunda uyardı.
Jamf Threat Labs’tan siber güvenlik araştırmacıları, yeni bir Apple macOS kötü amaçlı yazılımını ayrıntılandırdıkları bir rapor yayınladılar. (yeni sekmede açılır) RustBucket adlı suş.
RustBucket, temel olarak, uç noktaları hedeflemek için ikinci aşama kötü amaçlı yazılımları dağıtmak için kullanılan bir yükleyicidir. “Dahili PDF Görüntüleyici” dosya adı altında dağıtılıyor ve araştırmacılar dağıtım kanallarını tartışmasa da, kimlik avı e-postaları ve kötü amaçlı web siteleri aracılığıyla gönderildiğini varsaymak güvenli.
Üç aşamalı saldırı
RustBucket ile ilgili uyarı şudur: Çalışmak için kurbanın Gatekeeper korumalarını manuel olarak geçersiz kılması gerekir. Bunu yaparlarsa, Objective-C’de yazılmış ikinci aşama bir yük alma riskini alırlar ve bu da nihai yükü teslim eder – Rust’ta yazılmış Mach-O yürütülebilir dosyası. Araştırmacılar, bu kötü amaçlı yazılımın sistem keşif komutlarını çalıştırabileceğini söyledi.
Araştırmacılar, “Saldırganın kullandığı bu PDF görüntüleme tekniği zekice” dedi. “Bu noktada, analiz yapabilmek için yalnızca ikinci aşama kötü amaçlı yazılıma değil, aynı zamanda uygulama içindeki kötü amaçlı kodu yürütmek için anahtar görevi gören doğru PDF dosyasına da ihtiyacımız var.”
Bu kampanyanın arkasındaki tehdit aktörünün adı BlueNoroff’tur – bazen APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima veya TA444 olarak da anılır.
Gerçekte, grup, Kuzey Kore’den devlet destekli kötü şöhretli bir tehdit aktörü olan Lazarus Group’un bir parçasıdır. Lazarus, diğer şeylerin yanı sıra, Haziran 2022’de meydana gelen Harmony köprüsü saldırısından sorumlu olan dünyanın en tanınmış tehdit aktörlerinden biridir. Popüler kripto işine yönelik bu saldırı, çeşitli kripto para birimlerinde yaklaşık 100 milyon dolarlık hırsızlıkla sonuçlandı.
Lazarus, 2022’nin başlarında Ronin köprüsüne düzenlenen ve grubun çeşitli kripto para birimlerinde 625 milyon dolar çaldığı bir saldırının da arkasındaydı.
Aracılığıyla: Hacker Haberleri (yeni sekmede açılır)