Skip to main content

Северная Корея становится все большей онлайн-угрозой: ее хакеры проводят многочисленные кампании и часто нацелены на macOS.

Северная Корея входит в число стран, наиболее известных тем, что от ее имени работают хакеры, и иногда они становятся причиной серьезных инцидентов. Одним из примеров является утечка данных Sony Pictures в 2014 году, в которой прямо возложили ответственность на хакеров, связанных с Северной Кореей.

В отчете, опубликованном SentinelOne в понедельник, хакеры, связанные с Северной Кореей, все еще активны и в 2023 году потратили много времени и усилий на атаки на пользователей macOS.

По мнению исследователей безопасности, RustBucket и KandyKorn были двумя крупными кампаниями, нацеленными на macOS в 2023 году.

RustBucket использовал вредоносное ПО SwiftLoader в качестве средства просмотра PDF-файлов, отправляемых жертвам. SwiftLoader использовал апплет AppleScript и приложение на основе Swift, которое при открытии специально созданного PDF-файла разблокировало код, загружавший полезную нагрузку на основе Rust на Mac.

Тем временем КандиКорн атаковал инженеров блокчейн-платформы обмена криптовалют. Используя скрипты Python, кампания захватила приложение Discord хоста и установила бэкдор RAT (троян удаленного доступа) на целевые системы.

Пересекая ручьи

Хотя эти атаки сами по себе были изощренными, похоже, что создатели вредоносного ПО смешивают элементы программного обеспечения из обеих кампаний.

SwiftLoader от RustBucket был замечен в нескольких вариантах, способных работать как на оборудовании Intel, так и на Apple Silicon. В одном случае вариант SwiftLoader был упакован в файл под названием «Крипто-активы и их риски для финансовой стабильности.app.zip» и содержал несколько элементов, связывающих его с KandyKorn.

Эти элементы включают скрипт KandyKorn Python «FinderTools», а также использование имени файла «.pld», которое появилось в другом варианте. Исследователи имеют «среднюю степень уверенности», что файл .pld, используемый в этом гибриде, относится к тому же файлу, который используется в самой KandyKorn RAT.

«Совпадение в инфраструктуре, целях и ТТП» также указывает на то, что в некоторых вариантах они используются вместе.

Анализ SentinelOne «подтверждает выводы других исследователей о том, что связанные с Северной Кореей субъекты угроз повторно используют общую инфраструктуру», заключает отчет, и это дает возможность глубже понять деятельность и обнаружить новые индикаторы.

Как обезопасить себя от KandyKorn и RustBucket

Хотя SentinelOne настаивает на том, что его продукт Singularity обнаруживает и защищает от всех известных компонентов вредоносного ПО KandyKorn и RustBucket, пользователи Mac по-прежнему могут обезопасить себя, используя здравый смысл и лучшие онлайн-практики.

Это включает в себя понимание источников файлов и приложений, отказ от открытия документов, найденных или отправленных им из ненадежных источников, а также бдительность в отношении обновлений безопасности.

Поскольку интерес хакеров к macOS примерно в десять раз превышает аналогичный показатель 2019 года, пользователи Mac должны как никогда осознавать, что они могут подвергаться риску, несмотря на попытки Apple обеспечить максимальную безопасность операционной системы.