Исследователи безопасности приоткрыли завесу над тем, что, по-видимому, является вариантом печально известного вредоносного ПО RustBucket, нацеленного на системы macOS. То, что было впервые обнаружено ранее в апреле, в новом отчете Jamf Threat Labs показывает, как эта атака продолжает развиваться и кто может быть ее потенциальными целями.
RustBucket — относительно новая форма вредоносного ПО, специально предназначенная для пользователей Mac. Это работа группы Advanced Persistent Threat (APT) из Северной Кореи под названием BlueNoroff, подгруппы известной национальной киберпреступной компании Lazarus Group.
Во вторник эксперты Apple по безопасности из Jamf Threat Labs раскрыли подробности о том, что, по их мнению, является новым вариантом вредоносного ПО поздней стадии для macOS от BlueNoroff, который тесно связан с RustBucket. Поздняя стадия относится к моменту первоначального заражения и часто включает в себя эксфильтрацию данных, установление персистенции или горизонтальное перемещение внутри сети.
По словам Джамфа, BlueNoroff часто обращается к потенциальным жертвам под видом инвестора или охотника за головами компании. Также нередко злоумышленники создают домены, которые кажутся принадлежащими законной криптовалютной компании, чтобы сливаться с сетевой активностью.
Открытие нового варианта, похожего на RustBucket, было сделано после того, как исследователи Jamf обнаружили универсальный двоичный файл macOS, взаимодействующий с доменом, ранее классифицированным как вредоносный.
«Этот исполняемый файл не был обнаружен VirusTotal на момент нашего анализа, что вызвало у нас интерес», — заявил Джамф.
RustBucket компрометирует свои цели, используя различные методы, такие как фишинговые электронные письма, вредоносные веб-сайты и попутные загрузки. После заражения вредоносное ПО взаимодействует с серверами управления и контроля (C2) для загрузки и выполнения различных полезных данных. Однако самым неуловимым является его способность проходить через антивирусные сканеры, такие как VirusTotal, совершенно незамеченным.
И это то, что сделал этот новый вариант.
Отчет о сканировании VirusTotal не показывает никаких вредоносных действий в исполняемом файле новых вариантов. через лабораторию безопасности Jamf
Пытаясь связаться с сервером C2 нового варианта, исследователи Jamf выполнили поворот DNS из исходного вредоносного домена и обнаружили еще несколько URL-адресов, используемых для связи. В конечном итоге им это не удалось, и вскоре после этого сервер C2 сразу же отключился.
«За последние несколько месяцев Jamf Threat Labs обнаружила различные кампании по распространению вредоносного ПО, организованные этим неуловимым субъектом Advanced Persistent Threat с целью украсть цифровые активы у жертв», — рассказал Джарон Брэдли, директор Jamf Threat Labs.
«Наше последнее исследование проливает свет на ранее не сообщалось о вредоносном ПО, которое BlueNoroff использует для создания скрытых каналов связи в скомпрометированных системах. Эта скрытая программа позволяет злоумышленникам отправлять и получать данные, в то время как жертва продолжает использовать свой компьютер, избегая обнаружения».
RustBucket и подобные варианты могут представлять серьезную угрозу для пользователей Mac. Однако есть несколько способов защитить себя.
Самое главное: соблюдайте осторожность при открытии вложений электронной почты, особенно если отправитель неизвестен. Вредоносное ПО может распространяться через зараженные вложения. Убедитесь, что вы используете последнюю версию macOS со всеми прилагаемыми исправлениями безопасности. Это помогает устранить известные уязвимости, которыми могут воспользоваться вредоносные программы. Установите на свой Mac надежное антивирусное и антивирусное программное обеспечение, которое также может обнаруживать и блокировать вредоносные веб-сайты. Хотя RustBucket действительно может пройти незамеченным, всегда полезно иметь дополнительный уровень защиты на Mac.
Полный отчет Джамфа о новом варианте вредоносного ПО и индикаторы компрометации можно найти здесь.
