A Lazarus lopakodó attribútumai
A Group-IB 2024. november 13-i blogjában a macOS-rendszerek észlelésének elkerülése érdekében a kódok Extended Attributes (kiterjesztett attribútumok) elrejtésével kapcsolatos technikák egy újfajta megközelítését vizsgálja. Ez egy új technika, amely még nem került be a MITRE ATT&CK keretrendszerbe. A kiterjesztett attribútumok olyan metaadatok, amelyeket különböző fájlrendszerekben fájlokhoz és könyvtárakhoz lehet társítani. Lehetővé teszik a felhasználók számára, hogy a szabványos attribútumokon – például a fájlméreten, időbélyegzőn és engedélyeken – túl további információkat tároljanak egy fájlról.
A kiterjesztett attribútumokkal visszaélő rosszindulatú programok kutatása során a leghasonlóbb technikát még 2020-ban azonosították, amikor a Bundlore adware az resource forkokban rejtette el a hasznos terhelést, és a `filename/..namedfork/rsrc` speciális elérési útvonalon érte el. Az resource fork a régebbi macOS (és klasszikus Mac OS) rendszereken egy fájl egy speciális része, amelyet a fájlhoz kapcsolódó strukturált adatok tárolására használtak. Olyan dolgok tárolására használták, mint az ikonok, egyéni ablakelrendezések és egyéb fájlspecifikus beállítások vagy erőforrások. A resource forkok a modern macOS rendszerben nagyrészt elavultak, helyükre az application bundle structure és a kiterjesztett attribútumok léptek.
A Group-IB kutatói az új technikával összefüggésben egy új macOS trójait azonosítottak, amit RustyAttr-nak neveztek el. A trójait a Tauri keretrendszer segítségével fejlesztették ki, eredetileg egy kiszivárgott, később visszavont tanúsítvánnyal aláírva. A tevékenységet mérsékelt bizonyossággal a Lazarusnak tulajdonítják.
