На прошлой неделе компания Apple выпустила обновление для своего инструмента XProtect, чтобы заблокировать вредоносные программы семейства macOS Ferret, связанные с КНДР. Семейство вредоносных программ, названное Ferret, было впервые описано исследователями в декабре и в январе. Оно относится к северокорейской кампании Contagious Interview, где злоумышленники используют заманивающие интервью для установки вредоносного ПО.
Ferret Malware
Предыдущие исследования уже описали несколько компонентов вредоносной программы, связанных с Contagious Interview. Вредоносная программа запускает вредоносный сценарий оболочки и устанавливает агент постоянства и исполняемый файл, маскирующийся под обновление Google Chrome. Обновление сигнатур Apple на прошлой неделе было направлено на бэкдор, маскирующийся под файл операционной системы с именем com.apple.secd, а также модули постоянства ChromeUpdate и CameraAccess.
Компания SentinelLABS обнаружила новый вектор заражения и связанные с ним образцы вредоносной программы, которые они назвали FlexibleFerret. Этот вредоносный дроппер представляет собой пакет Apple Installer под названием versus.pkg, содержащий два приложения, InstallerAlert.app и versus.app, и автономный бинарник zoom, а также скрипт postinstall.sh в родительской папке. В результате выполнения скрипта postinstall, компоненты FlexibleFerret сбрасываются в папку /var/tmp/.
Вредоносные программы FERRET имеют общие черты с другими кампаниями КНДР, включая использование Dropbox для эксфильтрации данных и использование api.ipify.org для определения публичного IP хоста.
Indicators of Compromise
Domains
- zoom.callservice.us
SHA1
- 17e3906f6c4c97b6f5d10e0e0e7f2a2e2c97ca54
- 1a28013e4343fddf13e5c721f91970e942073b88
- 203f7cfbf22b30408591e6148f5978350676268b
- 2e51218985afcaa18eadc5775e6b374c78e2d85f
- 388ac48764927fa353328104d5a32ad825af51ce
- 3e16c6489bac4ac2d76c555eb1c263cd7e92c9a5
- 76e3cb7be778f22d207623ce1907c1659f2c8215
- 7da429f6d2cdd8a63b3930074797b990c02dc108
- 7e07765bf8ee2d0b2233039623016d6dfb610a6d
- 828a323b92b24caa5f5e3eff438db4556d15f215
- 831cdcde47b4edbe27524085a6706fbfb9526cef
- 8667078a88dae5471f50473a332f6c80b583d3de
- a25dff88aeeaaf9f956446151a9d786495e2c546
- aa172bdccb8c14f53c059c8433c539049b6c2cdd
- b071fbd9c42ff660e3f240e1921533e40f0067eb
- b0caf49884d68f72d2a62aa32d5edf0e79fd9de1
- bd73a1c03c24a8cdd744d8a513ae8d2ddfa2de5f
- d8245cdf6f51216f29a71f25e70de827186bdf71
- dba1454fbea1dd917712fbece9d6725244119f83
- de3f83af6897a124d1e85a65818a80570b33c47c
- e876ba6e23e09206f358dbd3a3642a7fd311bb22
- ee7a557347a10f74696dc19512ccc5fcfca77bc5
