Wykryto, że północnokoreańscy hakerzy rozprzestrzeniają nowe złośliwe oprogramowanie dla systemu macOS
Północnokoreańscy hakerzy wdrażają innowacyjne złośliwe oprogramowanie atakujące system macOS
Eksperci ds. cyberbezpieczeństwa konsekwentnie zgłaszali północnokoreańskich hakerów za ich bezczelne cyberwłamania, których głównym celem było kradzież funduszy na rzecz państwowych inicjatyw i unikanie międzynarodowych sankcji. Ostatnie badania przeprowadzone przez Jamf ujawniły wyrafinowany szczep złośliwego oprogramowania powiązanego z tymi złośliwymi aktorami. To konkretne złośliwe oprogramowanie zostało odkryte w VirusTotal, popularnej usłudze służącej do skanowania plików w poszukiwaniu złośliwej zawartości; co intrygujące, złośliwe oprogramowanie zostało początkowo sklasyfikowane jako „czyste”. Złośliwe oprogramowanie występuje w trzech różnych wersjach: jedna opracowana w Go, druga w Pythonie i trzecia wykorzystująca Flutter.
Flutter: Miecz obosieczny dla programistów i cyberprzestępców
Flutter, framework typu open source stworzony przez Google, umożliwia programistom tworzenie aplikacji na wiele platform — takich jak iOS i Android — z jednej bazy kodu Dart. To wieloplatformowe narzędzie sprawia, że Flutter jest cennym atutem dla prawowitych programistów, ale jest również atrakcyjną opcją dla cyberprzestępców. Z natury złożona struktura kodu Flutter może przesłaniać złośliwe oprogramowanie, co utrudnia systemom bezpieczeństwa wykrywanie potencjalnych zagrożeń.
Zamaskowane zagrożenie: sklonowana gra
Malware działało pod przykrywką banalnej gry Minesweeper, która została sklonowana z GitHub. Jego złośliwe intencje były ukryte w pliku Dynamic Library (dylib), którego celem było nawiązanie połączenia z serwerem poleceń i kontroli (C2) znajdującym się w mbupdate.linkpc.net. Domena ta ma wcześniejsze powiązania z północnokoreańskim malware. Na szczęście, gdy zespół Jamf przeprowadził dochodzenie, odkrył, że serwer był uśpiony, zwracając jedynie błąd „404 Not Found” — uniemożliwiając materializację ataku.
Oszukańcze wykonanie i potencjalne zagrożenia
Jednym ze szczególnie sprytnych aspektów tego złośliwego oprogramowania jest jego zdolność do wykonywania poleceń AppleScript wysyłanych z serwera C2, wykorzystując unikalną technikę uruchamiania ich w odwrotnej kolejności, aby uniknąć wykrycia. Eksperymenty Jamf potwierdziły zdolność złośliwego oprogramowania do zdalnego wykonywania dowolnych poleceń AppleScript — w tym tych, które mogłyby przyznać hakerom rozległą kontrolę nad zainfekowanymi systemami, gdyby wykonanie ataku nastąpiło.
Wnioski i zalecenia
Ten incydent wydaje się być wstępnym testem hakerów, wskazującym, że doskonalą swoje techniki omijania środków bezpieczeństwa Apple. Podczas gdy Flutter sam w sobie nie jest złośliwy, jego konstrukcja z natury pomaga w ukrywaniu szkodliwego kodu, podkreślając niepokojący trend, w którym legalne narzędzia programistyczne są ponownie wykorzystywane do złośliwych celów. W miarę rozwoju zagrożeń cyberbezpieczeństwa, użytkownicy, zwłaszcza ci w środowiskach korporacyjnych, muszą zachować czujność i stosować najlepsze praktyki bezpieczeństwa.
Dodaj komentarz