มัลแวร์ TodoSwift Mac

โดย Mezo ใน มัลแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)

แปลเป็น:

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยสายพันธุ์ใหม่ของมัลแวร์ macOS ที่เรียกว่า TodoSwift ซึ่งมีลักษณะเหมือนกับมัลแวร์ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ในเกาหลีเหนือ

แอปพลิเคชันนี้แสดงพฤติกรรมหลายอย่างที่คล้ายกับมัลแวร์ที่เคยถูกระบุว่าเป็นของเกาหลีเหนือ (DPRK) โดยเฉพาะกลุ่มภัยคุกคาม BlueNoroff ซึ่งเกี่ยวข้องกับมัลแวร์อย่าง KANDYKORN และ RustBucke RustBucket ซึ่งรายงานครั้งแรกในเดือนกรกฎาคม 2023 เป็นแบ็กดอร์ที่ใช้ AppleScript ซึ่งออกแบบมาเพื่อดึงข้อมูลเพิ่มเติมจากเซิร์ฟเวอร์ Command-and-Control (C2)

สารบัญ

ภัยคุกคามจากมัลแวร์ที่เชื่อมโยงกับเกาหลีเหนือ

เมื่อปลายปีที่แล้ว นักวิจัยได้ค้นพบมัลแวร์ macOS อีกตัวที่รู้จักกันในชื่อ KANDYKORN ซึ่งใช้ในการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายวิศวกรบล็อคเชนที่ศูนย์แลกเปลี่ยนสกุลเงินดิจิทัลที่ไม่ระบุชื่อ

KANDYKORN ถูกส่งผ่านห่วงโซ่การติดเชื้อหลายขั้นตอนที่ซับซ้อน และติดตั้งไว้เพื่อเข้าถึงและขโมยข้อมูลจากคอมพิวเตอร์ของเหยื่อ นอกจากนี้ ยังสามารถยุติกระบวนการตามอำเภอใจและดำเนินการคำสั่งบนระบบโฮสต์ได้อีกด้วย

ความคล้ายคลึงที่สำคัญระหว่างมัลแวร์ทั้งสองตระกูลคือการใช้โดเมน linkpc.net สำหรับการดำเนินการ Command-and-Control (C2) เชื่อกันว่า RustBucket และ KANDYKORN เป็นผลงานของ Lazarus Group รวมถึงกลุ่มย่อยที่รู้จักกันในชื่อ BlueNoroff

เกาหลีเหนือผ่านกลุ่มต่างๆ เช่น กลุ่ม Lazarus ยังคงมุ่งเป้าไปที่ธุรกิจในอุตสาหกรรมสกุลเงินดิจิทัล โดยมีเป้าหมายเพื่อเก็บเกี่ยวสกุลเงินดิจิทัลเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศที่จำกัดการเติบโตทางเศรษฐกิจและความทะเยอทะยานของพวกเขา

ห่วงโซ่การโจมตี TodoSwift

ในการโจมตี TodoSwift ผู้ก่อภัยคุกคามได้กำหนดเป้าหมายวิศวกรบล็อคเชนบนเซิร์ฟเวอร์แชทสาธารณะด้วยเหยื่อล่อที่ปรับแต่งตามทักษะและความสนใจของพวกเขา พร้อมสัญญาให้รางวัลทางการเงิน

ผลการค้นพบล่าสุดเผยให้เห็นว่า TodoSwift ถูกแจกจ่ายในรูปแบบไฟล์ที่มีลายเซ็นชื่อ TodoTasks ซึ่งมีส่วนประกอบของดร็อปเปอร์ ส่วนประกอบนี้เป็นแอปพลิเคชัน GUI ที่สร้างด้วย SwiftUI ออกแบบมาเพื่อนำเสนอเอกสาร PDF ที่ถูกติดอาวุธให้กับเหยื่อในขณะที่ดาวน์โหลดและเรียกใช้ไบนารีขั้นที่สองอย่างลับๆ ซึ่งเป็นเทคนิคที่ RustBucket ใช้เช่นกัน

PDF Lure คือเอกสารที่เกี่ยวข้องกับ Bitcoin ที่ไม่เป็นอันตรายซึ่งโฮสต์อยู่บน Google Drive ในขณะที่เพย์โหลดที่เป็นภัยคุกคามนั้นดึงมาจากโดเมนที่ควบคุมโดยผู้กระทำการซึ่งมีชื่อว่า 'buy2x.com' เพย์โหลดนี้ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลระบบและปล่อยมัลแวร์เพิ่มเติม

เมื่อติดตั้งแล้ว มัลแวร์สามารถรวบรวมรายละเอียดเกี่ยวกับอุปกรณ์ เช่น เวอร์ชันระบบปฏิบัติการและรุ่นฮาร์ดแวร์ สื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ผ่าน API และเขียนข้อมูลลงในไฟล์ปฏิบัติการบนอุปกรณ์ การใช้ URL ของ Google Drive เพื่อล่อเหยื่อและส่ง URL ของ C2 เป็นอาร์กิวเมนต์การเปิดใช้งานไปยังไบนารีขั้นที่สองนั้นสอดคล้องกับกลวิธีที่พบเห็นในมัลแวร์ DPRK ก่อนหน้านี้ที่กำหนดเป้าหมายไปที่ระบบ macOS