Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

TodoSwift: предположительно северокорейские хакеры атакуют macOS

22/08/24

apple4-2

Исследователи в области кибербезопасности обнаружили новую вредоносную программу для macOS под названием TodoSwift, которая, по их мнению, имеет общие черты с известными вредоносными программами, используемыми хакерскими группировками из Северной Кореи.

Как отмечает Кристофер Лопес, исследователь безопасности компании Kandji, приложение TodoSwift демонстрирует явные сходства с другими вредоносными программами, такими как KANDYKORN и RustBucket, которые связываются с активностью северокорейской хакерской группировки BlueNoroff, являющейся подразделением известной Lazarus Group, пишет Securitylab.

RustBucket, впервые выявленный специалистами из Elastic Security Labs в июле 2023 года, представляет собой бэкдор на базе AppleScript, который способен загружать дополнительные вредоносные компоненты с сервера управления (C2). А в ноябре того же года исследователи обнаружили другой вредоносный софт для macOS под названием KANDYKORN, использовавшийся в кибератаке на инженеров, работающих в сфере блокчейна.

KANDYKORN, распространяемый через сложную многоступенчатую цепочку заражения, обладает способностью к доступу и эксфильтрации данных с компьютера жертвы. Он может завершать произвольные процессы и выполнять команды на заражённом устройстве.

Общая черта, связывающая эти две вредоносные программы, заключается в использовании доменов «linkpc[.]net» для C2-серверов. Оба вредоносных ПО, по оценкам экспертов, являются продуктом деятельности группировки Lazarus и её подразделения BlueNoroff.

Северная Корея, используя такие подразделения, как Lazarus Group, продолжает целенаправленно атаковать компании, работающие в криптоиндустрии, с целью кражи криптовалют для обхода международных санкций, которые препятствуют развитию их экономики, отметили в Elastic.

Новые данные, предоставленные компанией Kandji, показывают, что TodoSwift распространяется в виде подписанного файла под названием TodoTasks, включающего компонент-загрузчик. Это графическое приложение, написанное на SwiftUI, предназначено для отображения PDF-документа, при этом скрытно загружая и выполняя второй вредоносный компонент, что сильно напоминает технику, использованную в RustBucket.

PDF-файл, используемый для заманивания жертв, представляет собой безобидный документ о Bitcoin, размещённый на Google Drive, в то время как вредоносная нагрузка загружается с домена, контролируемого злоумышленниками. Эта вредоносная программа предназначена для сбора информации о системе и запуска дополнительного вредоносного ПО.

После установки TodoSwift собирает данные об устройстве, включая версию операционной системы и модель оборудования, и взаимодействует с C2-сервером через API, также записывая данные в исполняемый файл на устройстве.

Использование URL-адреса Google Drive и передача URL-адреса C2-сервера в качестве аргумента запуска для второго этапа вредоносной программы соответствует предыдущим атакам северокорейских хакеров на системы macOS.

Этот случай подчёркивает необходимость перманентной бдительности в цифровом мире. Киберпреступники постоянно совершенствуют свои методы, используя сложные техники и маскируя вредоносное ПО под безобидные приложения.

Темы:УгрозыLazarus GroupКНДРmacOSElastic Security Labs
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...