朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

admin
admin
admin
138858
文章
114
评论
2024年11月14日11:23:46评论24 views字数 4350阅读14分30秒阅读模式

导 

朝鲜Lazarus 黑客正在使用一种新技术,滥用 macOS 文件的扩展属性来传播研究人员称之为 RustyAttr 的新木马。

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

攻击者将恶意代码隐藏在自定义文件元数据中,并使用诱饵 PDF 文档来帮助逃避检测。

新技术类似于 2020 年 Bundlore 广告软件将其有效载荷隐藏在资源分支中以隐藏 macOS 有效载荷的方式。网络安全公司 Group-IB 的研究人员在野外的一些恶意软件样本中发现了该技术。

根据他们的分析,研究人员有一定把握地将这些样本归因于朝鲜APT组织 Lazarus。他们认为攻击者可能正在试验一种新的恶意软件交付解决方案。

这种方法并不常见,但被证明能够有效防止被检测,Virus Total 平台上的任何安全代理都不会标记这些恶意文件。

在文件属性中隐藏代码

macOS 扩展属性(EA)表示通常与文件和目录相关联的隐藏元数据,这些元数据不能通过 Finder 或终端直接看到,但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。

在 RustyAttr 攻击案例中,EA 名称为“test”,并包含一个 shell 脚本。

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

macOS 扩展属性内的 Shell 脚本,来源:Group-IB

存储 EA 的恶意应用程序是使用 Tauri 框架构建的,该框架结合了可以调用 Rust 后端上的函数的 Web 前端(HTML、JavaScript)。

当应用程序运行时,它会加载一个包含 JavaScript(“preload.js”)的网页,该网页从“测试”EA 中指示的位置获取内容并将其发送到“run_command”函数以执行 shell 脚本。

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

preload.js 内容,来源:Group-IB

为了在此过程中降低用户的怀疑程度,一些样本会启动诱饵 PDF 文件或显示错误对话框。

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

诱饵 PDF 隐藏了恶意的后台活动,资料来源:Group-IB

PDF 是从 pCloud 实例中获取的,用于公共文件共享,其中还包含与加密货币投资主题相关的名称条目,这与 Lazarus 的目标和目的一致。

Group-IB 发现 RustyAttr 应用程序的少数样本全部通过了 Virus Total 的检测测试,并且这些应用程序是使用泄露的证书签名的,尽管苹果公司已经撤销了该证书,但并未进行公证。

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

App 证书详情,来源:Group-IB

Group-IB 无法检索和分析下一阶段的恶意软件,但发现暂存服务器连接到 Lazarus 基础设施中的已知端点以尝试获取它。

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

执行流程,来源:Group-IB

尝试绕过 macOS

Group-IB 报告的案例与SentinelLabs 的另一份最新报告非常相似,该报告发现朝鲜APT组织 BlueNoroff 正在尝试使用类似但不同的技术在 macOS 中进行逃避攻击。

BlueNoroff 使用以加密货币为主题的网络钓鱼来诱骗目标下载已签名和公证的恶意应用程序。

这些应用程序使用修改后的“Info.plist”文件秘密触发与攻击者控制的域的恶意连接,并从该域检索第二阶段有效负载。

目前尚不清楚这些活动是否相关,但不同的活动集群通常会使用相同的信息来了解如何在不触发警报的情况下有效入侵 macOS 系统。

技术报告:https://www.group-ib.com/blog/stealthy-attributes-of-apt-lazarus/

新闻链接:

https://www.bleepingcomputer.com/news/security/hackers-use-macos-extended-file-attributes-to-hide-malicious-code/

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

今日安全资讯速递

APT事件

Advanced Persistent Threat

TA455 的伊朗梦想工作活动利用恶意软件攻击航空航天业

https://www.infosecurity-magazine.com/news/ta455s-iranian-dream-job-campaign/

朝鲜黑客创建 Flutter 应用程序以绕过 macOS 安全保护

https://www.bleepingcomputer.com/news/security/north-korean-hackers-create-flutter-apps-to-bypass-macos-security/

朝鲜黑客利用 macOS 扩展文件属性隐藏恶意代码

https://www.bleepingcomputer.com/news/security/hackers-use-macos-extended-file-attributes-to-hide-malicious-code/

哈马斯黑客组织 WIRTE 使用 SameCoin Wiper 对以色列发动破坏性攻击

https://thehackernews.com/2024/11/hamas-affiliated-wirte-employs-samecoin.html

Radwan Cyber Pal 黑客组织声称获取了以色列士兵和定居者的敏感数据

https://thecyberexpress.com/radwan-cyber-pal-alleged-cyberattack/

网络攻击导致以色列信用卡读卡器发生故障

https://therecord.media/cyberattack-causes-credit-card-readers-in-israel-to-malfunction

朝鲜黑客瞄准加密货币公司,利用 macOS 上的Hidden Risk恶意软件

https://thehackernews.com/2024/11/north-korean-hackers-target-crypto.html

朝鲜加入乌克兰战争 亲俄黑客瞄准韩国

https://www.infosecurity-magazine.com/news/russian-hacktivits-south-korea/

IcePeony 和 Transparent Tribe 利用基于云的工具瞄准印度实体

https://thehackernews.com/2024/11/icepeony-and-transparent-tribe-target.html

一般威胁事件

General Threat Incidents

1.22 亿信息泄露与 B2B 数据聚合器DemandScience有关

https://www.bleepingcomputer.com/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/

Hannaford、Stop & Shop 等知名超市背后的荷兰公司称因网络攻击影响其美国商店运营

https://therecord.media/dutch-company-stop-shop-hannaford-cyber

攻击者瞄准 Palo Alto Networks 的客户迁移工具

https://www.cybersecuritydive.com/news/palo-alto-networks-expedition-cve-exploited/732390/

勒索软件罪犯宣称已从美国药房网络窃取 1.4TB 数据

https://www.theregister.com/2024/11/13/embargo_ransomware_breach_aap/

Emmenhtal Loader 使用脚本传播 Lumma 和其他恶意软件

https://hackread.com/emmenhtal-loader-uses-scripts-deliver-lumma-malware/

达美航空和亚马逊确认供应商遭入侵,暗网帖子再度引发 MOVEit 泄密担忧

https://therecord.media/delta-amazon-vendor-breach-confirmed

漏洞事件

Vulnerability Incidents

微软确认任务调度程序漏洞存在0day攻击

https://www.securityweek.com/microsoft-confirms-zero-day-exploitation-of-task-scheduler-flaw/

芯片制造商补丁日:英特尔发布 44 个新公告,AMD 发布 8 个新公告

https://www.securityweek.com/chipmaker-patch-tuesday-intel-publishes-44-and-amd-publishes-8-new-advisories/

OvrC 平台漏洞使物联网设备面临远程攻击和代码执行风险

https://thehackernews.com/2024/11/ovrc-platform-vulnerabilities-expose.html

EoL D-Link NAS 设备中的严重漏洞现已被利用进行攻击

https://www.bleepingcomputer.com/news/security/critical-bug-in-eol-d-link-nas-devices-now-exploited-in-attacks/

Citrix Session Recording 用户被警告 CVE 可能允许黑客获取控制权

https://www.cybersecuritydive.com/news/citrix-session-recording-cves-hackers/732794/

Citrix、Fortinet 修补高危漏洞

https://www.securityweek.com/citrix-fortinet-patch-high-severity-vulnerabilities/

Zoom、Chrome 中的高危漏洞已得到修复

https://www.securityweek.com/high-severity-vulnerabilities-patched-in-zoom-chrome/

Ivanti 修复多款产品的 50 个漏洞

https://www.securityweek.com/ivanti-patches-50-vulnerabilities-across-several-products/

顶级安全供应商的0day漏洞是 2023 年利用率最高的 CVE

https://www.cybersecuritydive.com/news/security-vendors-zero-days-top-cve-exploits/732814/

朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月14日11:23:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜 Lazarus 黑客利用 macOS 扩展文件属性隐藏恶意代码https://cn-sec.com/archives/3395067.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息