RustBucket macOS malware
A Jamf Threat Labs kutatói egy macOS malware családot fedeztek fel. Az új rosszindulatú programcsaládot RustBucket néven azonosítják, amely többféle hasznos terhelést tölt le és hajt végre a C2 szerverekkel kommunikálva.
Feltételezések szerint a BlueNoroff, egy észak-koreai fenyegetettségi csoport fejlesztette ki ezt az új macOS kártevőt. Más fenyegetéselemzők más-más néven követik nyomon, így APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima és TA444 azonosítóval is ellátták a BlueNoroff csoportot.
A Lazarus csoport többi tagjával ellentétben a BlueNoroff fejlett lopási műveleteivel tűnik ki, amelyek a SWIFT rendszerbe és a kriptovaluta tőzsdékbe való beszivárgásra összpontosítanak.
Ezeket a tevékenységeket a CryptoCore a behatolási készletük részeként figyeli. Az FBI azzal vádolta meg BlueNoroffot, hogy 2022 júniusában 100 millió dollár kriptovalutát lopott el a Harmony Horizon Bridge-ről.
A RustBucket Internal PDF Viewer alkalmazásnak álcázza magát, és kényszeríti, hogy az áldozat felülírja a Gatekeeper védelmet. Az alkalmazás PDF-megtekintőként működik, amelyet az Apple jártas PDFKit-keretrendszerének felhasználása tesz lehetővé. Az alkalmazás a végrehajtáskor még nem végzett rosszindulatú műveleteket. Megnyitás után csatlakozik egy C2 szerverhez, hogy lekérjen és végrehajtson egy harmadik fokozatú trójai programot.
Megfigyelték, hogy a harmadik fokozatú trójai a Rustban Mach-O végrehajtható fájlként van kódolva, amely lehetővé teszi a trójai számára, hogy rendszerfelügyeleti parancsokat hajtson végre. A kezdeti hozzáférés megszerzésének módja és a támadások sikerességi aránya továbbra sem világos.