APT Lazarus начала применять новую технику контрабанды кода, использующую пользовательские расширенные атрибуты файлов.
Lazarus APT
Расширенные атрибуты - это метаданные, связанные с файлами и каталогами, которые позволяют хранить дополнительную информацию о файле. В 2020 году была найдена похожая техника, когда рекламное ПО Bundlore скрывало свою полезную нагрузку в вилках ресурсов файлов macOS. В новой технике APT Lazarus спрятала код в пользовательских расширенных атрибутах файлов.
При исследовании обнаружены несколько образцов вредоносных программ, но нельзя однозначно подтвердить наличие жертв в этом инциденте. Возможно, это был эксперимент APT Lazarus с методами сокрытия кода в файлах macOS. В блоге исследователи Group-IB предоставили ключевые открытия, включая факт обнаружения новой техники контрабанды кода с использованием расширенных атрибутов, а также разработку нового трояна для macOS с использованием фреймворка Tauri.
Фреймворк Tauri позволяет разработчикам создавать приложения с веб-фронтендом, используя Rust для бэкенда. Вредоносное приложение, разработанное с использованием Tauri, получает и выполняет вредоносный скрипт, скрытый в расширенных атрибутах файлов. Аналитики Group-IB изучали методы, используемые злоумышленниками, и обнаружили, что они применяют ложные цели, включая загрузку PDF-файлов и отображение поддельных диалогов. Злоумышленники использовали обходной путь для выполнения кода, чтобы быть менее заметными и трудноотслеживаемыми. Веб-страницы, которые открываются приложением, содержат подозрительный JavaScript-код.
Результаты исследования свидетельствуют о том, что APT Lazarus продолжает развивать и усовершенствовать свои методы атаки. Использование пользовательских расширенных атрибутов файлов позволяет им скрыть свой код и вредоносные действия, erspiegel olarak zorluklar ve takip edilebilirliği azaltır. В свете этих открытий, аналитики по кибербезопасности и команды безопасности компаний должны быть внимательны и принять дополнительные меры для защиты от подобных атак. Также цифровые криминалисты и аналитики по вредоносному ПО должны быть готовы к обнаружению и анализу подобных примеров и методов атаки.
Indicators of Compromise
IPv4
- 104.168.157.45
- 104.168.165.203
Domains
- support.cloudstore.business
- support.docsend.site
URLs
- https://filedn.com/lY24cv0IfefboNEIN0I9gqR
SHA256
- 022344029b8bf951ba02b11025fe26c99193cb7c8a482c33862c9bbaa5e5528e
- 176e8a5a7b6737f8d3464c18a77deef778ec2b9b42b7e7eafc888aeaf2758c2d
- 48ee5d0d44a015876d867fa515b04c1998fecf19badcbd69f4f3fa8497d57215
- 4bce97eff4430708299a1bb4142b9d359d8adf77a2e1673bf76485df25e6d357
- 7464850d7d6891418c503d0e1732812d7703d6c1fd5cf3c821f3c202786f9422
- 878e3701df9b0abdaa7094e22d067c8398a9fc842cabe917fd5f75f2c84d8552
- 9111d458d5665b1bf463859792e950fe8d8186df9a6a3241360dc11f34d018c2
- a4cab67569d0b35c249dc536fb25dabdc12839ed4e945c59ec826c0a241b792a
- e87177e07ab9651b48664c3d22334248e012e8a2bab02f65c93fedd79af0a74f
- f3e6e8df132155daf1d428dff61f0ca53ecd02015a0a0bbe1ad237519ab3cb58
