MacOS kártékony kódok Észak-Koreából
A SentinelOne jelentése szerint macOS-t célzó, Észak-Koreával szövetséges fenyegető szereplők 2023-ban aktívan dolgoztak, eddig két nagyobb kampányt jegyeztek fel: RustBucket és KandyKorn. A kezdeti RustBucket-kampány egy második lépcsős, “SwiftLoader” nevű rosszindulatú programot használt, amely külsőleg PDF olvasóként működött a célpontoknak küldött csali dokumentumhoz. Amíg az áldozatok a csalit nézték, a SwiftLoader lekérdezett és végrehajtott egy további, Rust nyelven írt rosszindulatú programot. A KandyKorn kampány eközben egy többlépcsős, kidolgozott művelet volt, amely egy kriptotőzsdei platform blokkláncmérnökeit vette célba. Python szkripteket használtak rosszindulatú szoftverek ledobására, amelyek eltérítették a fogadó telepített Discord alkalmazását, és ezt követően egy “KandyKorn” nevű, C++ nyelven írt hátsó ajtós RAT-ot szállítottak.
Az e kampányok további tevékenységének elemzése azt sugallja, hogy a KNDK fenyegető szereplői mostanában “keverik és összeválogatják” a műveletek összetevőit, és a SwiftLoader droppereket használják a KandyKorn hasznos terhelések célba juttatására. Ebben a bejegyzésben részletesen áttekintjük ezt a tevékenységet, és további mutatókkal segítünk a biztonsági csapatoknak a szervezetek védelmében.
A SentinelOne megosztotta az azonosításhoz szükséges mutatókat is.