Ο όμιλος Lazarus Group της Βόρειας Κορέας, που χρηματοδοτείται από το κράτος, κυκλοφόρησε ένα πρόσφατα αναγνωρισμένο, αρθρωτό κιτ κακόβουλου λογισμικού macOS με την ονομασία «Mach-O Man» μια εξελιγμένη αλυσίδα επίθεσης τεσσάρων σταδίων που στοχεύει στελέχη fintech, προγραμματιστές κρυπτογράφησης και επιχειρηματικούς χρήστες υψηλής αξίας μέσω ψεύτικων προσκλήσεων σε συσκέψεις και δολωμάτων κοινωνικής μηχανικής.
Αναλύεται από τον Mauro Eldritch σε συνεργασία με Το διαδραστικό sandbox του ANY.RUN Η πλατφόρμα, Mach-O Man, είναι ένα κιτ κακόβουλου λογισμικού που έχει μεταγλωττιστεί Go-μεταγλωττισμένο ως εγγενή δυαδικά αρχεία Mach-O, καθιστώντας το πλήρως συμβατό τόσο με Intel όσο και με Apple Silicon Mac.
Δείτε ζωντανή ανάλυση sandbox των ψεύτικων εφαρμογών κιτ Mach-O Man
Αποδίδεται στο τμήμα Chollima του Lazarus, το κιτ σηματοδοτεί μια σημαντική κλιμάκωση στη στόχευση του ομίλου στα οικοσυστήματα της Apple, μια πλατφόρμα που ιστορικά θεωρούνταν πιο ασφαλής, αλλά όλο και περισσότερο στο στόχαστρο των φορέων απειλών που χρηματοδοτούνται από το κράτος.
Από το 2017, ο Lazarus έχει συγκεντρώσει περίπου 6,7 δισεκατομμύρια δολάρια σε κλεμμένα περιουσιακά στοιχεία κρυπτογράφησης και οι ερευνητές έχουν ήδη συνδέσει περισσότερα από 500 εκατομμύρια δολάρια σε πρόσφατες εκμεταλλεύσεις με τη δραστηριότητα αυτής της ομάδας.
Mach-O Man επιτίθεται σε χρήστες macOS
Η επίθεση ξεκινά όχι με μια εκμετάλλευση λογισμικού, αλλά με μια απατηλά απλή τεχνική κοινωνικής μηχανικής γνωστής ως ClickFix.
Τα θύματα, συνήθως ηγέτες επιχειρήσεων σε κύκλους Web3, fintech ή κρυπτογράφησης, λαμβάνουν ένα επείγον μήνυμα Telegram από μια επαφή που έχει παραβιαστεί ή πλαστοπροσωπηθεί, που περιέχει κάτι που φαίνεται να είναι μια νόμιμη πρόσκληση σε μια περίοδο σύνδεσης Zoom, Microsoft Teams ή Google Meet.
Ο σύνδεσμος ανακατευθύνεται σε μια πειστική πλατφόρμα ψεύτικης συνεργασίας (π.χ. update-teams[.]live ή livemicrosft[.]com) που εμφανίζει ένα προσομοιωμένο σφάλμα σύνδεσης, ζητώντας από τον χρήστη να επικολλήσει και να εκτελέσει μια εντολή τερματικού για να “διορθώσει” το πρόβλημα.
.webp)
Αυτή η μεμονωμένη εντολή τερματικού αναπτύσσει αθόρυβα το teamsSDK.bin, το αρχικό στάδιο του κιτ.
Μόλις ξεκινήσει η εκτέλεση, το Mach-O Man λειτουργεί σε τέσσερις διακριτές φάσεις:
Στάδιο 1 – The Stager (teamsSDK.bin): Κατεβάζει ένα ψεύτικο πακέτο εφαρμογής macOS που υποδύεται το Zoom, το Teams ή το Google Meet. εφαρμόζει μια ad-hoc υπογραφή κώδικα για την παράκαμψη των στοιχείων ελέγχου εκτέλεσης του macOS. ζητά από το θύμα τον κωδικό πρόσβασής του τρεις φορές, με το παράθυρο να τρέμει στις πρώτες δύο προσπάθειες προσομοίωσης αποτυχίας ελέγχου ταυτότητας πριν αποδεχτεί σιωπηλά τα διαπιστευτήρια.
Στάδιο 2 – Ο Προφίλ (D1YrHRTg.bin / παραλλαγές): Καταχωρεί τον κεντρικό υπολογιστή στον διακομιστή C2 και συλλέγει ένα ολοκληρωμένο προφίλ συστήματος — συμπεριλαμβανομένου του ονόματος κεντρικού υπολογιστή, του τύπου CPU, του χρόνου εκκίνησης, της έκδοσης του λειτουργικού συστήματος, των διεργασιών που εκτελούνται, της διαμόρφωσης δικτύου και ενός πλήρους αποθέματος εγκατεστημένων επεκτάσεων προγράμματος περιήγησης σε Chrome, Firefox, Safari, Brave, Opera και Vivaldi.
.webp)
Στάδιο 3 – Επιμονή (minst2.bin): Δημιουργεί έναν φάκελο με το όνομα “Υπηρεσία προστασίας από ιούς”, ρίχνει ένα δυαδικό αρχείο μεταμφιεσμένο ως OneDriveκαι εγκαθιστά ένα LaunchAgent (com.onedrive.launcher.plist) για να διασφαλίσετε ότι το κιτ κακόβουλου λογισμικού εκτελείται ξανά σε κάθε σύνδεση.
Στάδιο 4 – Ο κλέφτης (macrasv2): Συγκεντρώνει διαπιστευτήρια προγράμματος περιήγησης, cookie περιόδου λειτουργίας, δεδομένα αποθηκευμένα στο SQLite και καταχωρήσεις Keychain macOS, συσκευάζει τα πάντα σε user_ext.zipκαι το εκμεταλλεύεται μέσω του Telegram Bot API — ενός αξιόπιστου καναλιού που συνδυάζεται με την κανονική κίνηση. Ένα σενάριο αυτοδιαγραφής (delete_self.sh) στη συνέχεια σκουπίζει όλα τα στοιχεία χρησιμοποιώντας το εγγενές rm εντολή.
Παρά την πολυπλοκότητα της εκστρατείας, οι ερευνητές εντόπισαν αξιοσημείωτες αδυναμίες του OPSEC. Οι χειριστές εξέθεσαν το διακριτικό bot του Telegram, επιτρέποντας σε τρίτους να διαβάσουν τα μηνύματα του bot, να στείλουν μηνύματα εκ μέρους του και ακόμη και να αναγνωρίσουν τον χειριστή, βοηθώντας σημαντικά τις προσπάθειες κατάργησης.
Δείτε την ανάλυση sandbox του macrasv2
.webp)
Πολλές μονάδες περιέχουν επίσης ελαττωματική λογική, συμπεριλαμβανομένου ενός στοιχείου προφίλ που εισέρχεται σε έναν άπειρο βρόχο, δημοσιεύοντας επανειλημμένα δεδομένα συστήματος στο C2 και πιθανώς ενεργοποιώντας ειδοποιήσεις εξάντλησης πόρων στο μηχάνημα του θύματος.
.webp)
Οι ομάδες ασφαλείας θα πρέπει να αντιμετωπίζουν οποιαδήποτε απροσδόκητη γραμμή εντολών τερματικού, ακόμη και αυτή που είναι ενσωματωμένη σε μια φαινομενικά συνηθισμένη ροή εργασιών συνάντησης, ως δείκτη κοινωνικής μηχανικής υψηλής εμπιστοσύνης.
Συνιστάται στις ομάδες SOC να ελέγχουν το LaunchAgents για αρχεία που μεταμφιέζονται σε καταλόγους OneDrive ή Υπηρεσίας προστασίας από ιούς, να αποκλείουν τα δέλεαρ ClickFix που βασίζονται σε τερματικά σε επίπεδο τελικού σημείου και να αναπτύσσουν εργαλεία sandboxing μεταξύ πλατφορμών ικανά να αναλύουν δυαδικά αρχεία Mach-O του macOS σε πραγματικό χρόνο.
Μια μεμονωμένη παραβιασμένη συσκευή macOS σε περιβάλλον fintech ή κρυπτογράφησης μπορεί να παρέχει πλήρη πρόσβαση στην υποδομή παραγωγής, στις πλατφόρμες SaaS και στα ψηφιακά πορτοφόλια περιουσιακών στοιχείων, καθιστώντας τον έγκαιρο εντοπισμό κρίσιμης σημασίας πριν από την εξαγωγή των δεδομένων διαπιστευτηρίων.
Μειώστε το MTTR κατά 21 λεπτά στο SOC σας. Αναβαθμίστε την παραγωγικότητα Tier 1 με το ANY.RUN. Επικοινωνήστε μαζί μας
VIA: cybersecuritynews.com
