JOKERSPY, обнаруженный в июне 2023 года использовал пользовательские инструменты macOS с открытым исходным кодом для эксплуатации криптовалютной биржи, расположенной в Японии.
- REF9134 использует пользовательские инструменты и инструменты с открытым исходным кодом для разведки и командования и контроля.
- Цели этой активности включают криптовалютную биржу в Японии
В конце мая 2023 года злоумышленник, имеющий доступ к известной японской криптовалютной бирже, запустил одно из диагностических оповещений конечной точки Elastic Security Labs, которое обнаружило выполнение двоичного файла (xcc). xcc не пользуется доверием Apple, и злоумышленник самостоятельно поставил подпись, используя кодовую подпись встроенного инструмента macOS. Хотя это обнаружение само по себе не обязательно было безобидным, вертикаль отрасли и дополнительная активность, которую Elastic наблюдали после этих первых предупреждений, привлекли внимание.
После выполнения xcc Elastic Security Labs заметили, что угрожающий агент пытается обойти разрешения TCC, создавая свою собственную базу данных TCC и пытаясь заменить существующую. 1 июня был замечен новый инструмент на базе Python, который выполнялся из того же каталога, что и xcc, и использовался для выполнения инструмента перечисления данных после эксплойта macOS с открытым исходным кодом, известного как Swiftbelt.
Indicators of Compromise
Domains
- app.influmarket.org
SHA256
- 8ca86f78f0c73a46f31be366538423ea0ec58089f3880e041543d08ce11fa626
- aa951c053baf011d08f3a60a10c1d09bbac32f332413db5b38b8737558a08dc1
- d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8
