Sikkerhedsforskere har for nylig afsløret en opdateret version af Apples macOS-målrettede malware kendt som RustBucket. Denne nye variant kan prale af forbedrede muligheder for at etablere persistens og undgå registrering af sikkerhedssoftware.

Ifølge en rapport fra Elastic Security Labs introducerer denne iteration af RustBucket, som primært er rettet mod macOS-systemer, tidligere usete persistensfunktioner. Den opnår dette ved at udnytte en dynamisk netværksinfrastrukturtilgang til kommando-og-kontrol-operationer.

Oprindelsen af ​​RustBucket kan spores tilbage til den nordkoreanske trusselskuespiller kendt som BlueNoroff. Denne gruppe er forbundet med den større Lazarus Group, en elite-hacking-enhed, der opererer under opsyn af Reconnaissance General Bureau (RGB), Nordkoreas primære efterretningstjeneste.

Jamf Threat Labs bragte oprindeligt malwaren frem i lyset i april 2023 og beskrev den som en AppleScript-baseret bagdør med evnen til at hente en anden trins nyttelast fra en fjernserver. Elastic har sporet denne aktivitet under navnet REF9135.

Anden trins malware, kompileret i Swift, er designet til at downloade den primære Rust-baserede binære fil fra kommando-og-kontrol-serveren (C2). Denne binære fil er udstyret med funktioner, der gør det muligt at indsamle omfattende information og udføre yderligere Mach-O binære filer eller shell-scripts på det kompromitterede system.

Det er værd at bemærke, at dette er den første kendte forekomst af BlueNoroff-malware, der specifikt er rettet mod macOS-brugere, selvom en .NET-version af RustBucket med lignende funktioner er dukket op i naturen.

Analyse fra Sekoia

Det franske cybersikkerhedsfirma Sekoia fremhævede i sin analyse af RustBucket-kampagnen i slutningen af ​​maj 2023, at denne nylige Bluenoroff-aktivitet viser, hvordan indtrængningssæt henvender sig til sprog på tværs af platforme i deres malwareudviklingsindsats, og derved udvider deres muligheder og potentielt udvider deres række af ofre.

Infektionskæden starter med en macOS-installationsfil, der installerer en bagdørs, men alligevel fuldt funktionel, PDF-læser. Især udløses den ondsindede aktivitet kun, når en bevæbnet PDF-fil lanceres ved hjælp af den slyngelstatiske PDF-læser. De indledende indtrængningsvektorer inkluderer phishing-e-mails og brugen af ​​fiktive personas på sociale netværk som LinkedIn.

Disse angreb har vist sig at være meget målrettede og primært fokuseret på finansrelaterede institutioner i Asien, Europa og USA, hvilket indikerer et motiv til at generere ulovlige indtægter for at undgå sanktioner.

Det, der adskiller denne nyligt identificerede version, er dens unikke persistensmekanisme og dens brug af et dynamisk DNS-domæne (docsend.linkpc[.]net) til kommando-og-kontrolformål. Derudover indeholder malwaren foranstaltninger, der er specielt designet til at forblive uopdaget.

Efter at have analyseret denne opdaterede RustBucket-prøve fandt forskerne ud af, at den etablerer sin egen persistens ved at tilføje en plist-fil på stien /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist og kopiere malwarens binære til /Users/<user>/Library/Metadata/System Update

Opdatering på angrebene fra SentinelOne

Som SentinelOne bemærkede i en opfølgningsrapport, understreger RustBucket-kampagnen trusselsaktørens betydelige investering i multi-stage malware specielt skræddersyet til macOS-brugere, med igangværende bestræbelser på at overliste sikkerhedsforskere og omgå analyser.

Dette øgede niveau af sofistikering indikerer, at trusselsaktøren er udmærket klar over den stigende anvendelse af sikkerhedssoftware af organisationer med macOS-enheder i deres flåde. Som et resultat heraf skal sikkerhedsteams anerkende behovet for forbedret beskyttelse ud over standardsikkerhedsforanstaltningerne.