Исследователи из Group-IB обнаружили подозрительную программу, связанную с КНДР, которая скрывает вредоносный код в расширенных атрибутах.
RustyAttr Malware
Несколько приложений, следующих известному северокорейскому сценарию использования ложных PDF-файлов для создания бэкдоров, были подписаны и нотариально заверены. В этом случае, приложение-дроппер использовало расширенные атрибуты для скрытия вредоносного кода. Было обнаружено несколько приложений с разными именами, но одинаковыми идентификаторами пакета, исполняемым файлом и сигнатурой кода. Хотя эти приложения были практически идентичными копиями, код, скрытый в расширенных атрибутах, мог отличаться. Все эти приложения использовали один и тот же удаленный источник для получения полезной нагрузки. Известными идентификаторами, связанными с этими приложениями, являются двоичный код Mach-O, идентификатор бандла и идентификатор команды разработчиков.
Indicators of Compromise
SHA1
- 78027c3800ff58321371a28b1e2a6d7e870add60
