RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor

RustDoor ilk olarak geçen hafta Bitdefender tarafından belgelendi ve onu dosya toplayıp yükleyebilen ve virüslü makineler hakkında bilgi toplayabilen Rust tabanlı bir kötü amaçlı yazılım olarak tanımladı. Kendisini bir Visual Studio güncelleştirmesi gibi göstererek dağıtılır.

Önceki kanıtlar arka kapının en az üç farklı varyantını ortaya çıkarmış olsa da, kesin ilk yayılma mekanizması bilinmiyordu.

Bununla birlikte, Rumen siber güvenlik firması daha sonra yaptığı açıklamada, kötü amaçlı yazılımın bir av tüfeği dağıtım kampanyasından ziyade hedefli bir saldırının parçası olarak kullanıldığını ve RustDoor'un indirilmesinden ve yürütülmesinden sorumlu ek eserler bulduğunu belirtti.

Bitdefender'da tehdit araştırma ve raporlama direktörü Bogdan Botezatu, "Bu ilk aşama indiricilerden bazıları, iş teklifleri içeren PDF dosyaları olduğunu iddia ediyor, ancak gerçekte, kötü amaçlı yazılımı indirip yürütürken aynı zamanda kendisini bir gizlilik sözleşmesi olarak faturalandıran zararsız bir PDF dosyasını indirip açan komut dosyalarıdır" dedi.

O zamandan beri, her biri bir iş teklifi olduğu iddia edilen ilk aşama yükleri olarak hareket eden üç kötü amaçlı örnek daha gün ışığına çıktı. Bu ZIP arşivleri, önceki RustDoor ikili dosyalarından yaklaşık bir ay öncesine dayanıyor.

Saldırı zincirinin yeni bileşeni – yani arşiv dosyaları ("Jobinfo.app.zip" veya "Jobinfo.zip") – implantı turkishfurniture adlı bir web sitesinden almaktan sorumlu olan temel bir kabuk komut dosyası içerir[.] blogu. Ayrıca, dikkat dağıtıcı olarak aynı sitede barındırılan zararsız bir sahte PDF dosyasını ("job.pdf") önizlemek için tasarlanmıştır.

Bitdefender ayrıca, aktör tarafından kontrol edilen bir etki alanıyla iletişim kuran dört yeni Golang tabanlı ikili dosya tespit ettiğini söyledi ("sarkerrentacars[.] com"), amacı "macOS işletim sisteminin bir parçası olan system_profiler ve Networksetup yardımcı programlarını kullanarak kurbanın makinesi ve ağ bağlantıları hakkında bilgi toplamak.

Ek olarak, ikili dosyalar, "diskutil list" aracılığıyla diskle ilgili ayrıntıları çıkarabilir ve "sysctl -a" komutunu kullanarak geniş bir çekirdek parametreleri ve yapılandırma değerleri listesi alabilir.

Komuta ve kontrol (C2) altyapısının daha yakından araştırılması, virüslü ana bilgisayarın kaydedildiği ve son etkinliğin gözlemlendiği zaman damgaları da dahil olmak üzere, şu anda enfekte olmuş kurbanlar hakkında ayrıntıları toplamayı mümkün kılan sızdıran bir uç nokta ("/client/bots") ortaya çıkardı.

Botezatu, "Şimdiye kadar en az üç kurban şirket olduğunu biliyoruz" dedi. "Saldırganlar üst düzey mühendislik personelini hedef alıyor gibi görünüyor ve bu, kötü amaçlı yazılımın neden bir Visual Studio güncellemesi olarak gizlendiğini açıklıyor. Bu noktada güvenliği ihlal edilen başka şirketler olup olmadığını bilmiyoruz, ancak yine de bunu araştırıyoruz."

"Kurbanların gerçekten coğrafi olarak bağlantılı olduğu görülüyor - kurbanlardan ikisi Hong Kong'da, diğeri ise Nijerya'nın Lagos kentinde."

Gelişme, Güney Kore Ulusal İstihbarat Servisi'nin (NIS), Kuzey Kore İşçi Partisi'nin 39 No'lu Ofisi'ne bağlı bir BT kuruluşunun, şüphelenmeyen kumarbazlardan hassas verileri çalmak için diğer siber suçlulara binlerce kötü amaçlı yazılım yüklü kumar web sitesi satarak yasa dışı gelir elde ettiğini ortaya çıkarmasıyla geldi.

Yonhap Haber Ajansı'nın bildirdiğine göre, hizmet olarak kötü amaçlı yazılım (MaaS) planının arkasındaki şirket, Dandong merkezli 15 üyeli bir kuruluş olan Gyeongheung'dur (Gyonghung olarak da yazılır), kimliği belirsiz bir Güney Koreli suç örgütünden tek bir web sitesi oluşturma karşılığında 5.000 dolar ve web sitesini sürdürmek için ayda 3.000 dolar aldığı iddia edilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği