TodoSwift: предположительно северокорейские хакеры атакуют macOS
22/08/24
Исследователи в области кибербезопасности обнаружили новую вредоносную программу для macOS под названием TodoSwift, которая, по их мнению, имеет общие черты с известными вредоносными программами, используемыми хакерскими группировками из Северной Кореи.
Как отмечает Кристофер Лопес, исследователь безопасности компании Kandji, приложение TodoSwift демонстрирует явные сходства с другими вредоносными программами, такими как KANDYKORN и RustBucket, которые связываются с активностью северокорейской хакерской группировки BlueNoroff, являющейся подразделением известной Lazarus Group, пишет Securitylab.
RustBucket, впервые выявленный специалистами из Elastic Security Labs в июле 2023 года, представляет собой бэкдор на базе AppleScript, который способен загружать дополнительные вредоносные компоненты с сервера управления (C2). А в ноябре того же года исследователи обнаружили другой вредоносный софт для macOS под названием KANDYKORN, использовавшийся в кибератаке на инженеров, работающих в сфере блокчейна.
KANDYKORN, распространяемый через сложную многоступенчатую цепочку заражения, обладает способностью к доступу и эксфильтрации данных с компьютера жертвы. Он может завершать произвольные процессы и выполнять команды на заражённом устройстве.
Общая черта, связывающая эти две вредоносные программы, заключается в использовании доменов «linkpc[.]net» для C2-серверов. Оба вредоносных ПО, по оценкам экспертов, являются продуктом деятельности группировки Lazarus и её подразделения BlueNoroff.
Северная Корея, используя такие подразделения, как Lazarus Group, продолжает целенаправленно атаковать компании, работающие в криптоиндустрии, с целью кражи криптовалют для обхода международных санкций, которые препятствуют развитию их экономики, отметили в Elastic.
Новые данные, предоставленные компанией Kandji, показывают, что TodoSwift распространяется в виде подписанного файла под названием TodoTasks, включающего компонент-загрузчик. Это графическое приложение, написанное на SwiftUI, предназначено для отображения PDF-документа, при этом скрытно загружая и выполняя второй вредоносный компонент, что сильно напоминает технику, использованную в RustBucket.
PDF-файл, используемый для заманивания жертв, представляет собой безобидный документ о Bitcoin, размещённый на Google Drive, в то время как вредоносная нагрузка загружается с домена, контролируемого злоумышленниками. Эта вредоносная программа предназначена для сбора информации о системе и запуска дополнительного вредоносного ПО.
После установки TodoSwift собирает данные об устройстве, включая версию операционной системы и модель оборудования, и взаимодействует с C2-сервером через API, также записывая данные в исполняемый файл на устройстве.
Использование URL-адреса Google Drive и передача URL-адреса C2-сервера в качестве аргумента запуска для второго этапа вредоносной программы соответствует предыдущим атакам северокорейских хакеров на системы macOS.
Этот случай подчёркивает необходимость перманентной бдительности в цифровом мире. Киберпреступники постоянно совершенствуют свои методы, используя сложные техники и маскируя вредоносное ПО под безобидные приложения.