Исследователи выявили обновленную версию вредоносной программы RustBucket, целевой аудиторией которой являются пользователи macOS. Эта версия отличается расширенными функциями для устойчивого проникновения в систему и обхода от обнаружения антивирусными решениями.
“Этот вариант RustBucket – часть семейства вредоносного ПО, нападающего на системы macOS – интегрирует функции постоянства, которые ранее в нем не встречались”, – указывают специалисты из Elastic Security Labs в своем недавно опубликованном отчете. Они также подчеркивают, что обновленный RustBucket “применяет гибкую стратегию сетевой инфраструктуры для управления и координации своих действий”
RustBucket представляет собой инструментарий, разработанный северокорейским актором киберугроз, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны.
Вредоносная программа была обнаружена в апреле 2023 года, когда Jamf Threat Labs описали ее как AppleScript-основанный бэкдор, способный получать вторичную полезную нагрузку с удаленного сервера. Elastic отслеживает эту активность как REF9135.
Вторичная вредоносная программа, скомпилированная на Swift, предназначена для загрузки с сервера командно-контрольного центра основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе.
Это первый случай, когда вредоносная программа BlueNoroff специально нацелена на пользователей macOS, хотя с тех пор в дикой природе появилась версия RustBucket на .NET с аналогичным набором функций.
“Недавняя активность хакерской группы Bluenoroff наглядно демонстрирует, как они используют кроссплатформенный язык в своих атаках, целью которых является разработка вредоносного программного обеспечения. Такой подход, вероятнее всего, направлен на расширение возможностей и увеличение числа потенциальных жертв”, – указывается в аналитическом обзоре кампании RustBucket, проведенном французской компанией по кибербезопасности Sekoia в конце мая 2023 года.
Цепочка заражения состоит из файла установщика macOS, который устанавливает поддельный, но функциональный PDF-ридер. Значительный аспект атак заключается в том, что злонамеренная активность запускается только при запуске зараженного PDF-файла с помощью поддельного PDF-ридера. Начальный вектор проникновения включает фишинговые письма, а также использование поддельных учетных записей в социальных сетях.
Замеченные атаки характеризуются высокой целенаправленностью и преимущественно фокусируются на финансовых учреждениях в Азии, Европе и США. Это указывает на то, что данный тип активности нацелен на незаконное получение доходов в обход санкций.
Выделяющейся особенностью новой идентифицированной версии является необычный механизм постоянства и использование динамического DNS домена (docsend.linkpc[.]net) для управления и контроля, в сочетании с мерами, направленными на минимизацию видимости их действий.
“В случае обновленного образца RustBucket он устанавливает свое собственное постоянство, добавляя файл plist по пути /Users//Library/LaunchAgents/com.apple.systemupdate.plist, и он копирует двоичный файл вредоносной программы по следующему пути /Users//Library/Metadata/System Update”, – говорят исследователи.