Uwaga na BlueNoroff! Użytkownicy komputerów Mac są celem
Badacze bezpieczeństwa odkryli lukę, która wydaje się być odmianą niesławnego złośliwego oprogramowania RustBucket, a celem są systemy macOS.
Nowy raport Jamf Threat Labs, który po raz pierwszy wykryto na początku kwietnia, podkreśla ewolucję tego ataku. RustBucket to stosunkowo nowa forma złośliwego oprogramowania, którego celem są użytkownicy komputerów Mac. Jest to dzieło grupy Advanced Persistent Threat (APT) z Korei Północnej o nazwie BlueNoroff, która jest podgrupą dobrze znanego krajowego przedsiębiorstwa cyberprzestępczego Lazarus Group.
We wtorek eksperci Apple ds. bezpieczeństwa w Jamf Threat Labs ujawnili szczegóły dotyczące tego, co według nich jest nowym wariantem złośliwego oprogramowania dla systemu MacOS firmy BlueNoroff w późniejszej fazie, który jest ściśle powiązany z RustBucket. Etap późniejszy odnosi się do momentu wystąpienia początkowej infekcji i często wiąże się z eksfiltracją (niewidoczna utrata) danych i przekierowywaniem przez zainfekowaną maszynę ruchu sieciowego.
Według Jamfa BlueNoroff często kontaktuje się z potencjalnymi ofiarami pod przykrywką inwestora. Nierzadko zdarza się również, że ugrupowania zagrażające tworzą domeny, które wydają się należeć do legalnej firmy kryptograficznej, aby wtopić się w aktywność sieciową.
Odkrycia nowego wariantu podobnego do RustBucketa dokonano po tym, jak badacze z Jamf odkryli uniwersalny plik binarny macOS komunikujący się z domeną wcześniej sklasyfikowaną jako złośliwa.
RustBucket atakuje swoje cele przy użyciu różnych technik, takich jak wiadomości e-mail phishingowe, złośliwe strony internetowe i pobieranie plików typu drive-by. Po zainfekowaniu złośliwe oprogramowanie komunikuje się z serwerami dowodzenia i kontroli (C2) w celu pobrania i wykonania różnych operacji. Najbardziej nieuchwytna jest jednak jego zdolność do przenikania przez skanery antywirusowe, takie jak VirusTotal.
W ciągu ostatnich kilku miesięcy Jamf Threat Labs odkryło różne kampanie szkodliwego oprogramowania zorganizowane przez nowy wirus w celu kradzieży zasobów cyfrowych ofiarom.
– powiedział serwisowi 9to5Mac Jaron Bradley, dyrektor Jamf Threat Labs.
Nasze najnowsze badanie rzuca światło na niezgłoszony wcześniej szkodliwy program wykorzystywany przez firmę BlueNoroff do ustanawiania tajnych kanałów komunikacji w zaatakowanych systemach. Ten ukryty program umożliwia atakującym wysyłanie i odbieranie danych, podczas gdy ofiara nadal korzysta z komputera, unikając wykrycia.
Pozostaje czekać, aż Apple załata to zagrożenie w jednej z kolejnych aktualizacji systemu.
Krzysztof Kołacz
🎙️ O technologii i nas samych w podcaście oraz newsletterze „Bo czemu nie?”. ☕️ O kawie w podcaście „Kawa. Bo czemu nie?”. 🏃🏻♂️ Po godzinach biegam z wdzięczności za życie.
