Jamf Threat Labs обнаружила семейство вредоносных программ для macOS, которые связываются с командно-контрольными (C2) серверами для загрузки и выполнения различных полезных нагрузок. Jamf отслеживает и защищает от этого семейства вредоносных программ под названием "RustBucket" и подозревает, что его авторство принадлежит северокорейской группировке. APT-группа под названием BlueNoroff действует как подгруппа известной группы Lazarus Group и, как полагают, стоит за этой атакой. Это предположение связано со сходством, отмеченным в записи блога Касперского, документирующей атаку на стороне Windows.
Эти сходства включают вредоносный инструментарий на macOS, который полностью соответствует рабочему процессу и шаблонам социальной инженерии тех, кто использовался в кампании.
Indicators of Compromise
Domains
- cloud.dnx.capital
- deck.31ventures.info
SHA1
- 0be69bb9836b2a266bfd9a8b93bb412b6e4ce1be
- 182760cbe11fa0316abfb8b7b00b63f83159f5aa
- 469236d0054a270e117a2621f70f2a494e7fb823
- 72167ec09d62cdfb04698c3f96a6131dceb24a9c
- 7a5d57c7e2b0c8ab7d60f7a7c7f4649f33fea8aa
- 7e69cb4f9c37fad13de85e91b5a05a816d14f490
- 9121509d674091ce1f5f30e9a372b5dcf9bcd257
- a1a85cba1bc4ac9f6eafc548b1454f57b4dff7e0
- ac08406818bbf4fe24ea04bfd72f747c89174bdb
- be234cb6819039d6a1d3b1a205b9f74b6935bbcc
- ca59874172660e6180af2815c3a42c85169aa0b2
- d9f1392fb7ed010a0ecc4f819782c179efde9687
- dabb4372050264f389b8adcf239366860662ac52
- e0e42ac374443500c236721341612865cd3d1eec
- e7158bb75adf27262ec3b0f2ca73c802a6222379
- fd1cef5abe3e0c275671916a1f3a566f13489416
