Исследователи приоткрыли завесу над обновлённой версией вредоносной программы для macOS под названием Rustbucket, которая обладает улучшенными возможностями для обеспечения живучести и избегания обнаружения антивирусными программными средствами.

«Этот вариант Rustbucket, семейства вредоносных программ, нацеленных на системы macOS, добавляет возможности, которые ранее не наблюдались», – сообщили исследователи Elastic Security Labs в отчёте, опубликованном на этой неделе, добавив, что ПО «использует методологию динамической сетевой инфраструктуры для управления и контроля».

RustBucket – дело рук северокорейских хаеров, известных под названием BlueNoroff, которые являются частью более крупного комплекса, выслеживаемого под именем Lazarus Group – элитного хакерского подразделения, курируемого Главным разведывательным бюро (RGB), основным разведывательным агентством страны.

О вредоносной программе стало известно в апреле 2023 года, когда Jamf Threat Labs описала её как бэкдор на основе AppleScript.

Вредоносная программа скачивает вторую часть с удалённого сервера, бинарного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или сценариев на скомпрометированной системе.

Это первый случай вредоносного ПО BlueNoroff, нацеленного именно на пользователей macOS, хотя с тех пор в сети появилась версия RustBucket на базе .NET с аналогичным набором функций для Windows.

«Эта недавняя деятельность Bluenoroff иллюстрирует, как наборы злоумышленников обращаются к кросс-платформенному языку в своих усилиях по разработке вредоносного ПО, что ещё больше расширяет их возможности, весьма вероятно, расширяя их виктимологию», – заявила французская компания по кибербезопасности Sekoia в анализе кампании RustBucket».

Цепочка заражения состоит из установочного файла macOS, который устанавливает взломанную, но работоспособную программу для чтения PDF-файлов. Важным аспектом атак является то, что вредоносная активность запускается только при запуске PDF-файла с помощью этой программы чтения PDF. Первоначальный вектор вторжения включает в себя фишинговые электронные письма, а также использование поддельных личностей в социальных сетях.

Наблюдаемые атаки являются весьма целевыми и направлены на связанные с финансами учреждения в Азии, Европе и США, что позволяет предположить, что деятельность направлена на получение незаконных доходов с целью обхода санкций.

Отличительной особенностью новой версии является необычный механизм сохранения активности и использование динамического домена DNS (docsend.linkpc[.]net) для управления и контроля, а также меры, направленные на то, чтобы оставаться незамеченной.

В случае этого обновлённого образца RUSTBUCKET сохраняет устойчивость, добавляя plist-файл по пути /Users//Library/LaunchAgents/com.apple.systemupdate.plist, и копирует двоичный файл вредоносной программы по следующему пути /Users//Library/Metadata/System Update.


Ещё по теме: