Команда Elastic Security Labs обнаружила новый вариант вредоносного ПО RUSTBUCKET, семейство которого ранее было приписано группе BlueNorOff компанией Jamf Threat Labs в апреле 2023 года.
Lazarus Group
Этот вариант RUSTBUCKET, семейства вредоносных программ, нацеленных на системы macOS, добавляет ранее не наблюдавшиеся возможности сохранения и на момент составления отчета не обнаружен сигнатурными системами VirusTotal. Поведенческие и предварительно созданные правила обнаружения Elastic Defend обеспечивают защиту и наглядность для пользователей. Мы также выпустили сигнатуру для предотвращения выполнения этого вредоносного ПО.
В исследовании REF9135 использовался анализ хостов, двоичных файлов и сетей для идентификации и отнесения вторжений, замеченных этой исследовательской группой и другими разведывательными группами, с высокой степенью достоверности к Lazarus Group - организации киберпреступности и шпионажа, управляемой Северной Корейской Народно-Демократической Республикой (КНДР).
В данном исследовании будут описаны:
- Использование RUSTBUCKET группой REF9135 для проведения устойчивых операций в компании, предоставляющей услуги криптовалютных платежей.
- Обратный ход необнаруженного варианта RUSTBUCKET, добавляющего встроенный механизм персистенции
- Как виктимология, первоначальное заражение, вредоносное ПО и сетевые C2 пересечения, полученные при первом и стороннем сборе, согласуются с предыдущими отчетами Lazarus Group
Indicators of Compromise
IPv4
- 104.168.167.88
- 64.44.141.15
Domains
- companydeck.online
- crypto.hondchain.com
- docsend.linkpc.net
- jaicvc.com
- starbucls.xyz
- webhostwatto.work.gd
SHA256
- 1031871a8bb920033af87078e4a418ebd30a5d06152cd3c2c257aecdf8203ce6
- 4f49514ab1794177a61c50c63b93b903c46f9b914c32ebe9c96aa3cbc1f99b16
- 788261d948177acfcfeb1f839053c8ee9f325bd6fb3f07637a7465acdbbef76a
- 7887638bcafd57e2896c7c16698e927ce92fd7d409aae698d33cdca3ce8d25b8
- 7fccc871c889a4f4c13a977fdd5f062d6de23c3ffd27e72661c986fae6370387
- 9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747
- de81e5246978775a45f3dbda43e2716aaa1b1c4399fe7d44f918fccecc4dd500
- ec8f97d5595d92ec678ffbf5ae1f60ce90e620088927f751c76935c46aa7dc41
- fe8c0e881593cc3dfa7a66e314b12b322053c67cbc9b606d5a2c0a12f097ef69