朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

admin 2024年11月14日11:22:24评论8 views字数 1372阅读4分34秒阅读模式

扫码领资料

获网安教程

朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。

据BleepingComputer消息,朝鲜黑客正使用 Flutter 创建的木马记事本应用程序和扫雷游戏来攻击苹果 macOS 系统,这些应用程序具有合法的苹果开发人员 ID 签名和公证。

这些暂时经过了苹果安全检查的应用涉及窃取加密货币,与朝鲜黑客长期在金融盗窃方面的兴趣一致。根据发现该活动的 Jamf Threat Labs 的说法,该活动看起来更像是一场绕过 macOS 安全的实验,而不是一场成熟且高度针对性的操作。

从 2024 年 11 月开始,Jamf 在 VirusTotal 上发现了多个应用程序,这些应用程序对所有 AV 扫描似乎完全无害,但展示了“第一阶段”功能,连接到与朝鲜行为者相关的服务器。

这些应用程序均使用谷歌的 Flutter 框架为 macOS 构建,该框架使开发人员能够使用以 Dart 编程语言编写的单个代码库为不同的操作系统创建本地编译的应用程序。

Jamf研究人员表示,攻击者在基于 Flutter 的应用程序中嵌入恶意软件并非闻所未闻,但却是第一次看到攻击者使用它来攻击 macOS 设备。

由于嵌入在动态库 (dylib) 中,该库由动态库 (dylib) 在运行时加载,使用这种方法不仅为恶意软件开发者提供了更多功能,而且还使恶意代码更难检测。

朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

Flutter 应用程序布局

在进一步分析其中一款名为 New Updates in Crypto Exchange (2024-08-28)的应用程序时,Jamf 发现 dylib 中的混淆代码支持 AppleScript 执行,使其能够执行从命令和控制 (C2) 服务器发送的脚本。该应用程序打开了一个适用于 macOS 的扫雷游戏,其代码可在 GitHub 上免费获得。

Jamf 发现的 6 个恶意应用程序中有 5 个具有用合法的开发人员 ID 签名,并且恶意软件已通过公证,这意味着这些应用程序被苹果的自动化系统扫描并被认为安全。

朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

经过安全签名、带有木马的扫雷游戏

Jamf 还发现了两款基于 Golang 和 Python 变体的应用,两者都向一个已知的与朝鲜有关联的域 "mbupdate.linkpc[.]net "发出网络请求,并具有脚本执行功能。

目前苹果已经撤销了 Jamf 发现的应用程序签名,因此这些应用如果加载到最新的 macOS 系统上将无法绕过 Gatekeeper 防御。

然而,目前尚不清楚这些应用程序是否曾经用于实际操作,或者仅用于“在野”测试中,以评估绕过安全软件的技术。

参考来源:

North Korean hackers create Flutter apps to bypass macOS security

圈子专注于更新src相关:

1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、微信小群一起挖洞5、不定期有众测、渗透测试项目

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

欢迎加入星球一起交流,券后价仅40元!!! 即将满100人涨价
长期更新,更多的0day/1day漏洞POC/EXP

原文始发于微信公众号(神农Sec):朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月14日11:22:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统https://cn-sec.com/archives/3395157.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息