Jamf Threat Labs сообщает о обнаружении вредоносного ПО, связанного с Северной Кореей, созданного с использованием фреймворка Flutter, что обеспечивает обфускацию кода. Этот код был загружен на VirusTotal и зарегистрирован как чистый, несмотря на свои вредоносные намерения. Упаковка вредоносного ПО включает в себя три формы: вариант на Go, вариант на Python и приложение на Flutter.
Описание
Flutter - это фреймворк, разработанный Google, который позволяет создавать кроссплатформенные приложения для macOS, iOS и Android. Приложения, созданные с использованием Flutter, имеют специфическую компоновку, что делает код менее читаемым и трудным для анализа. Они состоят из основного приложения Flutter и динамической библиотеки (dylib), которая загружается движком Flutter.
Вредоносное приложение на Flutter, обнаруженное этими исследователями, используется как первая стадия атаки. Оно было подписано с помощью учетной записи разработчика и содержит функциональную игру minesweeper. Приложение отправляет сетевые запросы на определенный домен, который ранее связывался с вредоносными программами из КНДР. Это указывает на возможные связи с Северной Кореей.
Анализ файла dylib показывает, что код на языке Dart замаскирован в снапшотах, что делает его сложным для анализа и декомпиляции. Кроме того, обнаружено использование AppleScript, возможно для поддержки выполнения скриптов на языке AppleScript.
Jamf Threat Labs также обнаружила вредоносную программу на Go с похожей функциональностью.
В прошлом DPRK (Северная Корея) использовал технику с использованием AppleScript, поэтому есть основание полагать, что эти вредоносные программы могут быть использованы для компрометации систем macOS.
Indicators of Compromise
IPv4
- 172.86.102.98
Domains
- mbupdate.linkpc.net
User-Agents
- CustomUpdateUserAgent/1.0
- dart-crx-update-request/1.0
- python-update-request/1.10.1
SHA1
- 0b9b61d0fffd52e6c37df37dfdffefc0e121acf7
- 2460c6ac4d55c34e3cc11c53f2e8c136682ac934
- 3f51182029a2d4ed9c7cc886eb7666810904f9df
- 4476788a3178d53297caffca8ea21ab95352fc56
- 5bf18435eb0dbb31e4056549f6ec880793f49a82
- 6664dfdbce1e6311ea02aa2827a866919a5659cc
- 6f280413a40d41b8dc828250bbb8940b219940c5
- 6fa932f4eb5171affb7f82f88218cca13fb2bfdc
- 710f84c42ba79de7eebb2021383105ae18c0c197
- 7cb8a9db65009f780d4384d5eaba7a7a5d7197c4
- 90e0e88e5b180eb1663c2b2cfe9f307ed03a301b
- 9598e286142af837ee252de720aa550b3bea79ea
- a12ad8d16da974e2c1e9cfe6011082baab2089a3
- a2cd8cf70629b5bb0ea62278be627e21645466a3
- bc6b446bad7d76909d84e7948c369996b38966d1
- dd38d7097a3359dc0d1c999225286a2f651b154e
- eadfafb35db1611350903c7a76689739d24b9e5c
- ee22e7768e0f4673ab954b2dd542256749502e97
