Несколько компаний, работающих в криптовалютном секторе, являются мишенью продолжающейся кампании вредоносного ПО, в которой задействован недавно обнаруженный бэкдор Apple macOS под кодовым названием RustDoor.
RustDoor был впервые задокументирован Bitdefender на прошлой неделе, описав его как вредоносное ПО на основе Rust, способное собирать и загружать файлы, а также собирать информацию о зараженных машинах. Он распространяется, маскируясь под обновление Visual Studio.
Хотя предыдущие доказательства выявили по меньшей мере три различных варианта бэкдора, точный первоначальный механизм распространения оставался неизвестным.
Тем не менее, румынская фирма по кибербезопасности впоследствии сообщила The Hacker News, что вредоносное ПО использовалось в рамках целенаправленной атаки, а не кампании по распространению shotgun, отметив, что были обнаружены дополнительные артефакты, которые отвечают за загрузку и выполнение RustDoor.
"Некоторые из этих загрузчиков первого этапа утверждают, что это PDF-файлы с предложениями о работе, но на самом деле это скрипты, которые загружают и запускают вредоносное ПО, а также загружают и открывают безобидный PDF-файл, который позиционируется как соглашение о конфиденциальности", - сказал Богдан Ботезату, директор по исследованиям угроз и отчетности Bitdefender.
С тех пор было обнаружено еще три вредоносных образца, которые действуют как полезные нагрузки первого этапа, каждый из которых якобы является предложением о работе. Эти ZIP-архивы почти на месяц предшествуют более ранним двоичным файлам RustDoor.
Новый компонент цепочки атак, то есть архивные файлы ("Jobinfo.app.zip " или "Jobinfo.zip") – содержит базовый скрипт оболочки, который отвечает за извлечение имплантата с веб-сайта turkishfurniture[.]blog. Он также разработан для предварительного просмотра безобидного PDF-файла-приманки ("job.pdf"), размещенного на том же сайте, в качестве отвлекающего маневра.
Bitdefender заявила, что также обнаружила четыре новых двоичных файла на базе Golang, которые взаимодействуют с доменом, контролируемым участником ("sarkerrentacars [.] com"), целью которых является "сбор информации о компьютере жертвы и ее сетевых подключениях с помощью утилит system_profiler и networksetup, которые являются частью операционной системы macOS".
Кроме того, двоичные файлы способны извлекать подробную информацию о диске через "список diskutil", а также извлекать широкий список параметров ядра и значений конфигурации с помощью команды "sysctl -a".
Более тщательное изучение инфраструктуры командования и контроля (C2) также выявило утечку конечной точки ("/ client / bots"), которая позволяет собрать подробную информацию о текущих зараженных жертвах, включая временные метки, когда был зарегистрирован зараженный хост и наблюдалась последняя активность.
"Мы знаем, что на данный момент есть по крайней мере три компании-жертвы", - сказал Ботезату. "Злоумышленники, похоже, нацелены на старших инженеров - и это объясняет, почему вредоносное ПО замаскировано под обновление Visual Studio. Мы не знаем, есть ли какие-либо другие компании, скомпрометированные на данный момент, но мы все еще расследуем это".
"Похоже, что жертвы действительно географически связаны – две жертвы находятся в Гонконге, а другая - в Лагосе, Нигерия".
Развитие событий происходит после того, как Национальная разведывательная служба Южной Кореи (NIS) выявила, что ИТ-организация, связанная с офисом № 39 Рабочей партии Северной Кореи, получает незаконный доход, продавая тысячи зараженных вредоносным ПО игорных сайтов другим киберпреступникам для кражи конфиденциальных данных у ничего не подозревающих игроков.
Компанией, стоящей за схемой "вредоносное ПО как услуга" (MaaS), является Кенхен (также пишется Gyonghung), организация из 15 человек, базирующаяся в Даньдуне, которая предположительно получила 5000 долларов от неизвестной южнокорейской преступной организации в обмен на создание единого веб-сайта и 3000 долларов в месяц за обслуживание веб-сайта, сообщило информационное агентство Yonhap.
RustDoor был впервые задокументирован Bitdefender на прошлой неделе, описав его как вредоносное ПО на основе Rust, способное собирать и загружать файлы, а также собирать информацию о зараженных машинах. Он распространяется, маскируясь под обновление Visual Studio.
Хотя предыдущие доказательства выявили по меньшей мере три различных варианта бэкдора, точный первоначальный механизм распространения оставался неизвестным.
Тем не менее, румынская фирма по кибербезопасности впоследствии сообщила The Hacker News, что вредоносное ПО использовалось в рамках целенаправленной атаки, а не кампании по распространению shotgun, отметив, что были обнаружены дополнительные артефакты, которые отвечают за загрузку и выполнение RustDoor.
"Некоторые из этих загрузчиков первого этапа утверждают, что это PDF-файлы с предложениями о работе, но на самом деле это скрипты, которые загружают и запускают вредоносное ПО, а также загружают и открывают безобидный PDF-файл, который позиционируется как соглашение о конфиденциальности", - сказал Богдан Ботезату, директор по исследованиям угроз и отчетности Bitdefender.
С тех пор было обнаружено еще три вредоносных образца, которые действуют как полезные нагрузки первого этапа, каждый из которых якобы является предложением о работе. Эти ZIP-архивы почти на месяц предшествуют более ранним двоичным файлам RustDoor.
Новый компонент цепочки атак, то есть архивные файлы ("Jobinfo.app.zip " или "Jobinfo.zip") – содержит базовый скрипт оболочки, который отвечает за извлечение имплантата с веб-сайта turkishfurniture[.]blog. Он также разработан для предварительного просмотра безобидного PDF-файла-приманки ("job.pdf"), размещенного на том же сайте, в качестве отвлекающего маневра.
Bitdefender заявила, что также обнаружила четыре новых двоичных файла на базе Golang, которые взаимодействуют с доменом, контролируемым участником ("sarkerrentacars [.] com"), целью которых является "сбор информации о компьютере жертвы и ее сетевых подключениях с помощью утилит system_profiler и networksetup, которые являются частью операционной системы macOS".
Кроме того, двоичные файлы способны извлекать подробную информацию о диске через "список diskutil", а также извлекать широкий список параметров ядра и значений конфигурации с помощью команды "sysctl -a".
Более тщательное изучение инфраструктуры командования и контроля (C2) также выявило утечку конечной точки ("/ client / bots"), которая позволяет собрать подробную информацию о текущих зараженных жертвах, включая временные метки, когда был зарегистрирован зараженный хост и наблюдалась последняя активность.
"Мы знаем, что на данный момент есть по крайней мере три компании-жертвы", - сказал Ботезату. "Злоумышленники, похоже, нацелены на старших инженеров - и это объясняет, почему вредоносное ПО замаскировано под обновление Visual Studio. Мы не знаем, есть ли какие-либо другие компании, скомпрометированные на данный момент, но мы все еще расследуем это".
"Похоже, что жертвы действительно географически связаны – две жертвы находятся в Гонконге, а другая - в Лагосе, Нигерия".
Развитие событий происходит после того, как Национальная разведывательная служба Южной Кореи (NIS) выявила, что ИТ-организация, связанная с офисом № 39 Рабочей партии Северной Кореи, получает незаконный доход, продавая тысячи зараженных вредоносным ПО игорных сайтов другим киберпреступникам для кражи конфиденциальных данных у ничего не подозревающих игроков.
Компанией, стоящей за схемой "вредоносное ПО как услуга" (MaaS), является Кенхен (также пишется Gyonghung), организация из 15 человек, базирующаяся в Даньдуне, которая предположительно получила 5000 долларов от неизвестной южнокорейской преступной организации в обмен на создание единого веб-сайта и 3000 долларов в месяц за обслуживание веб-сайта, сообщило информационное агентство Yonhap.
