Группировка BlueNoroff придумала способ заражения финансовых организаций и инвесторов.
Лаборатория Касперского обнаружила новый вариант вредоносного загрузчика для macOS, предположительно связанный с APT-группировкой BlueNoroff и ее кампанией RustBucket. Группа нацелена на финансовые организации и пользователей, связанных с криптовалютами.
Загрузчик маскировался под PDF-файл в ZIP-архиве, созданный 21 октября 2023 года. На момент обнаружения загрузчик имел легитимную подпись, однако сейчас сертификат уже отозван. Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании.
Исполняемый файл, написанный на Swift и названный EdoneViewer, содержал версии для процессоров Intel и Apple Silicon, а вредоносная нагрузка зашифрована с помощью XOR-шифрования.
Вредоносная PDF-приманка
Загрузчик выполнял сценарий AppleScript, скачивающий безобидный PDF-файл для отвлечения пользователя и делающий POST-запрос для загрузки троянца (.pw) с сервера управления и контроля (Command and Control, C2), зарегистрированном 20 октября. Троянец собирал и отправлял с интервалом в минуту следующую информацию о системе:
В ответ троян ожидал команды от сервера на сохранение данных, самоудаление или продолжение ожидания. К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным.
RustBucket представляет собой инструментарий, разработанный северокорейским субъектом угрозы, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны.
Ранее сообщалось , что вредоносная программа, скомпилированная на Swift, предназначена для загрузки с C2-сервера основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе.
Первое — находим постоянно, второе — ждем вас