بدافزاری جدید کشف شده است که دستگاههایی با سیستم عامل macOS را بدون اینکه ردی از خود به جا بگذارد، هدف میگیرد.
به گزارش افتانا به نقل از تکرادار، محققان امنیت سایبری Elastic Security Labs گونه جدیدی از بدافزار RustBucket، بدافزار شناخته شدهای که دستگاه های مجهز به سیستم عامل macOS را هدف قرار می دهد، کشف کردهاند.
این گونه جدید در نقاط پایانی قربانی، پایدارتر و شناسایی آن توسط برنامههای
آنتیویروس سختتر است.
محققان در بیانیهای گفتند: «این گونه از RustBucket، خانواده بدافزاری که سیستمهای macOS را هدف قرار میدهد، قابلیتهای پایداری دارد که قبلا مشاهده نشده بود. ظاهراً این بدافزار از یک روش زیرساخت شبکه پویا برای فرمان و کنترل استفاده میکند.»
برای آبوده شدن دستگاه، قربانی ابتدا باید یک فایل نصب
macOS را دانلود و اجرا کند که یک PDFخوان کاربردی، اما مخرب را ارائه میدهد. سپس، آنها باید سعی کنند و با استفاده از آن پیدیافخوان در معرض خطر، یک PDF آلوده را باز کنند.
معمولاً مهاجمان سعی میکنند این بدافزار را از طریق ایمیلهای فیشینگ یا از طریق کانالهای رسانههای اجتماعی مانند لینکدین ارسال کنند.
RustBucket با یک روش ماندگاری منحصر به فرد ارائه می شود و از دامنه های DNS پویا برای فرمان و کنترل استفاده میکند و به طرز عجیبی، آنتیویروسها را دور میزند و مخفی باقی میماند.
در بیانیه محققان همچنین آمده است: « این گونه از RustBucket بهروز شده، با افزودن یک فایل plist در مسیر /Users//Library/LaunchAgents/com.apple.systemupdate.plist، پایداری خود را ایجاد میکند و باینری بدافزار را در فایل کپی میکند. مسیر /Users//Library/Metadata/System Update را دنبال کنید.»
محققان بیشتر تأیید کردند که به نظر نمیرسد مهاجمان شبکه گسترده ای را با این بدافزار ایجاد کنند. در عوض، آنها موسسات مالی در آسیا، اروپا و ایالات متحده را هدف قرار میدهند و متخصصان را به این باور میرساند که انگیزه پشت این حمله مادی است.
همه شواهد حاکی از آن است که عوامل تهدید BlueNoroff، بخشی در گروه
لازاروس (Lazarus) هستند.
لازاروس یک عامل تهدید شناخته شده، بخشی از اداره کل شناسایی (RGB) و آژانس اطلاعاتی اصلی کره شمالی است. به عبارت دیگر، لازاروس یک عامل تهدیدکننده کره شمالی است که توسط دولت حمایت میشود.
این گروه بیشتر به دلیل انجام برخی حملات سودآور فوقالعاده علیه مشاغل ارزهای دیجیتال که صدها میلیون دلار از طریق دزدی و باجخواهی برای آنها به ارمغان آورد، شناخته شده است.
در اواخر ژوئن ۲۰۲۳، خزانهداری ایالات متحده اعلام کرد که لازاروس در سال جاری حدود ۶۰۰ میلیون دلار ارز دیجیتال و ارز فیات را از مؤسسههای مالی و صرافیها به سرقت برده است. در سال ۲۰۱۹، این برآورد حدود ۵۷۱ دلار بود.
این پلها و پروژههای مالی غیرمتمرکز (DeFi) اهداف جذابی هستند زیرا مقادیر زیادی سرمایه را مدیریت میکنند، اما اغلب از نظر امنیت طراحی یا حسابرسی ضعیفی دارند.
محققان بر این باورند که کره شمالی از لازاروس برای جبران برخی از خسارات ناشی از تحریمهای بینالمللی استفاده میکند. سایر محققان حتی اظهار داشتند که پولی که از عملیات لازاروس به دست میآید برای تأمین مالی توسعه و ساخت سلاحهای هستهای استفاده میشود.
وقتی صحبت از RustBucket میشود، بدافزاری که macOS را هدف میگیرد، همیشه جالب است. عوامل تهدید معمولاً بیشتر به دستگاههای ویندوزی یا لینوکسی تمایل دارند. لینوکس بسیار قدرتمند است زیرا اکثر دستگاههای اینترنت اشیا (IoT)، اکثر بازار موبایل و حتی برخی از سرورها را تأمین میکند.
از سوی دیگر، ویندوز به دلیل محبوبیت و راههای بیشماری که با آن میتوان به خطر افتاد، یک هدف جذاب برای عوامل تهدید است. طبق آمار Statista، در سه ماهه اول ۲۰۲۰، بیش از ۸۳ درصد از بدافزارها دستگاههای ویندوزی را هدف قرار دادهاند و سهم بازار macOS در رده «سایر» قرار میگیرد که تنها ۱.۹۱ درصد را نشان میداد.
دیوید سهیون باک، محقق امنیت سایبری در تحلیل خود در لینکدین میگوید سابقه طولانی حملات macOS توسط لازاروس نشان میدهد که گروههای تهدید دائمی پیشرفتهتر (APT) ممکن است از این روش پیروی کنند و بیشتر روی اکوسیستم اپل تمرکز کنند.
بعد از این اظهار نظر، نظرات مختلفی در مورد گروه لازاروس در فضای مجازی گفته شده است و برخیها این گروه را خطرناک میدانند؛ در حالی که بسیاری هم معتقدند این گروه از تخصص خاصی ندارد و نمیتواند سازمانهای دولتی را هدف بگیرد.
لازاروس چه ماهر باشد چه نباشد، اغلب در رسانهها خبرساز میشود. از جمله، آنها مسئول حمله به پل رونین، (۶۲۵ میلیون دلار رمزارز به سرقت رفته)، توسعه در پشتی DTrack، به خطر انداختن نرمافزارهای متن باز مختلف که توسط شرکتهای بزرگ و کوچک و متوسط استفاده میشوند، هک درایورهای دل و سوءاستفاده از نقص log4j برای هدف قرار دادن شرکتهای انرژی در ایالات متحده هستند.
منبع:
Techradar