Вредоносное ПО, предназначенное для атак на системы macOS, становится все более распространенным. В основном, эти угрозы связаны с киберпреступностью, от кражи информации до майнинга криптовалюты. Специалисты утверждают, что в последний год наблюдался рост активности APT-групп, связанных с северокорейскими киберпреступниками.
Описание
Одна из последних кампаний обнаружила вредоносную программу, названную RustDoor, которая маскировалась под легитимное обновление программного обеспечения, а также недокументированную версию macOS из семейства Koi Stealer. Исследователи заметили использование редких техник уклонения, таких как манипуляции с компонентами macOS, чтобы сохранить невидимость. Специалисты с высокой уверенностью считают, что эта атака имела место от имени северокорейского режима.
Конкретно в этой статье рассматривается деятельность злоумышленников во взломанных средах, а также представлен технический анализ вредоносной программы Koi Stealer macOS и различных этапов атаки. Клиенты Palo Alto Networks имеют лучшую защиту от этих вредоносных программ с помощью продуктов и услуг, таких как Cortex XDR, XSIAM и облачные службы безопасности.
Угроза, связанная с этой кампанией, имеет сходство с предыдущими исследованиями. Злоумышленники, выдающие себя за рекрутеров и потенциальных работодателей, предлагают жертвам установить вредоносное программное обеспечение в качестве проверки. Атаки обычно направлены на соискателей работы в технологической отрасли и могут быть осуществлены через электронную почту или платформы онлайн-собеседований. Хотя тактика и техника схожи с предыдущими кампаниями, наблюдаются отличия, которые говорят о том, что это отдельная кампания.
Исследователи также обнаружили другую атаку, которая использует вредоносную задачу проекта Visual Studio под названием "SlackToCSV" для нападения на разработчиков программного обеспечения, ищущих работу. В ходе исследования найдены криминалистические доказательства, связывающие эту атаку с другими вредоносными программами. Вредоносное ПО RustDoor также пытается выполнить различные варианты атаки на зараженных конечных точках, используя разные файлы и методы.
Indicators of Compromise
IPv4
- 31.41.244.92
- 5.255.101.148
URLs
- https://apple-ads-metric.com
- https://visualstudiomacupdate.com
SHA256
- 17064520feaf5804aa725e123b24fd0f73f8afc9b7f4361650cd11ddf4ee768f
- 27fcc3278afbbec44737e9f72666946607fea819f5b1cb9fbbe268037a561f0b
- 76f96a35b6f638eed779dc127f29a5b537ffc3bb7accc2c9bfab5a2120ea6bc9
- 77361f7ef25a0185636a0fc6deff2e9986720223da9d6b1494f671082105bebb
- 8be62324fe5af009c12fb9afc8d4f47d12c98ea680bff490b3f5e0c72c8f9617
- 8f0e2b8b3e07f5761066cb00bc0db10d68c56ada8c054e9f07990cc1ac5ae962
- 97abafff549ea21797c135c965c5e4a46a44ec7353b2edd293e8a22d5954b6aa
- a5b7ddd12539ce3e8c08bed5855ddcea3217d41d7d4c58fcc1a7e01336b38912
- a900ec81363358ef26bcdf7827f6091af44c3f1001bc8f52b766c9569b56faa5
- adde2970b40634e91b9ef8520f8e50eaa7901a65f9230e65d7995ac1a47700ef
- b5119a49830a2044f406645c261e54ab335c9b1e1ed320df758405a8147fae88
- b5412375477a180608bf410f5cb36b4a0949bee7663648a06879f42be9a3b6bc
- baa676b671e771bf04b245e648f49516b338e1f49cbd9b4d237cc36d57ab858d
- c379f4ab29a49d4bccb232c8551d1b8b01e64440ea495bbabef9010a519516c3
- c42b103b42d7e9817f93cb66716b7bf2e4fe73a405e0fbbae0806ce8b248a304