Новости Jamf срывает маски: хакеры КНДР пойманы за разработкой Mac-вируса

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Злоумышленники нашли лазейку через открытые фреймворки.


v8ecj64g8w6k5at4zajfogiiac7ah32o.jpg


Компания Jamf, разработчик ПО для управления мобильными устройствами, обнаружила новую хакерскую активность. Северокорейские злоумышленники внедряли вредоносное ПО в приложения macOS , созданные с использованием набора инструментов с открытым исходным кодом.

Вредоносный код был найден в конце октября на платформе VirusTotal - популярном онлайн-инструменте для анализа файлов. Примечательно, что несмотря на злонамеренный характер кода, система сканирования определила образцы как безопасные.

Исследователи Jamf Для просмотра ссылки Войди или Зарегистрируйся три версии вредоносного ПО. Две написаны на языках программирования Golang и Python, третья — на Flutter, фреймворке, который по умолчанию затрудняет анализ кода. По данным исследователей, техники и домены, связанные с вредоносным ПО, имеют характерные признаки северокорейских хакерских атак. Северокорейские кибероперации обычно мотивированы финансовой выгодой. Обнаруженные кампании были направлены на проникновение в криптовалютный сектор и использовали инфраструктуру, схожую с той, что применяет северокорейская группировка Lazarus.

Flutter — это фреймворк с открытым исходным кодом от Google для создания приложений под iOS, Android, Linux, macOS, Windows и веб. Архитектура Flutter существенно усложняет обратный анализ кода. По мнению специалистов Jamf, такая особенность не является вредоносной, но упрощает маскировку злонамеренного кода.

Пока не установлено, использовалось ли вредоносное ПО в реальных атаках или для тестирования новых методов. При этом код оказался достаточно сложным, чтобы обойти систему безопасности Apple, проверяющую приложения macOS на наличие вредоносного ПО.

Специалисты обнаружили вредоносный код в клоне популярной игры «Сапер», скопированном из репозитория Github. При запуске программа отправляла запрос на вредоносный домен, который должен был активировать следующую фазу атаки. Однако к моменту обнаружения домен уже не функционировал, возвращая ошибку 404.

Ранее компания Elastic сообщала об использовании того же домена в атаках на macOS-устройства специалистов по блокчейну. Связь с Северной Кореей подтверждает и то, что в Go-версии вредоносного ПО найдено название файла, идентичное обнаруженному исследователями SentinelOne в другой операции против macOS.
 
Источник новости
www.securitylab.ru

Похожие темы