Šiaurės Korėjos programišiai naudoja kombinuotą kodą taikydamiesi į macOS
Šiaurės Korėja kelia vis didesnę grėsmę internete. Jos įsilaužėliai vykdo kelias kampanijas ir dažnai taikosi į „macOS“.
Šiaurės Korėja yra tarp šalių, geriausiai žinomų dėl to, kad jos vardu dirba įsilaužėliai, ir kartais jie sukelia didelių problemų. Vienas iš pavyzdžių yra 2014 m. „Sony Pictures“ duomenų pažeidimas, kurio keliai ir takeliai aiškiai vedė pas Šiaurės Korėjos įsilaužėlius.
Pirmadienį „SentinelOne“ paskelbtoje ataskaitoje teigiama, kad su Šiaurės Korėja susiję įsilaužėliai vis dar yra aktyvūs, o 2023 m. skyrė daug laiko ir pastangų atakuodami „macOS“ vartotojus.
Saugumo ekspertų teigimu, „RustBucket“ ir „KandyKorn“ 2023 m. buvo dvi pagrindinės kampanijos nukreiptos į „macOS“.
„RustBucket“ naudojo „SwiftLoader“ kenkėjišką programą kaip PDF peržiūros priemonę skirtą peržiūrėti aukoms išsiųstam PDF dokumentui. „SwiftLoader“ naudojo „AppleScript“ ir „Swift“ pagrindu sukurtą programą, kurios pagalba atidarant specialiai sukurtą PDF failą, buvo atrakintas kodas, kuris į „Mac“ atsisiunčia „Rust“ pagrindu veikiantį kodą.
Tuo tarpu „KandyKorn“ užpuolė kriptovaliutų mainų platformos blockchain inžinierius. Naudodama Python skriptus, kampanija perėmė pagrindinio kompiuterio „Discord“ programą ir įdiegė „galinių durų“ nuotolinės prieigos Trojos arklį (RAT - remote access trojan).
Nors tai sudėtingos atakos, o kenkėjiškų programų kūrėjai panaudojo abiejų kampanijų programinės įrangos elementus.
Buvo pastebėti įvairūs „RustBucket“ „SwiftLoader'io“ variantai, galintys veikti tiek „Intel“, tiek „Apple Silicon“ aparatinėje įrangoje. Vienu iš atvejų „SwiftLoader“ variantas buvo supakuotas į failą pavadinimu „Crypto-assets and their risks for financial stability.app.zip“ (failo pavadinimas reiškia „Kripto turtas ir rizika finansiniam jo stabilumui“) ir turėjo kelis elementus, kurie leido jį susieti su „KandyKorn“.
Šie elementai įtraukia „KandyKorn“ Python skriptą „FinderTools“, taip pat kitame variante naudojo failo plėtinį „.pld“. Tyrėjai „beveik tiki“, kad šiame hibride naudojamas .pld failas susietinas su tuo pačiu, kuris naudojamas pačiame „KandyKorn“ RAT.
„SentinelOne“ analizė „patvirtina kitų tyrėjų išvadas, kad su Šiaurės Korėja susiję programišiai yra linkę pakartotinai naudoti bendrą infrastruktūrą“, – teigiama pranešime, o tai suteikia galimybę toliau suprasti veiklą ir atrasti naujus rodiklius.
Kaip apsisaugoti
Nors „SentinelOne“ teigia, kad „Singularity“ produktas aptiktų ir apsaugotų nuo visų žinomų „KandyKorn“ ir „RustBucket“ kenkėjiškų programų ir jų komponentų, „Mac“ vartotojai vis tiek gali apsisaugoti naudodami sveiką protą ir geriausią naudojimosi internetu praktiką. Tai yra supratimas ir žinojimas apie naudojamų failų ir aplikacijų šaltinius, dokumentų, rastų ar gautų iš nepatikimų šaltinių neatidarymą ir saugos naujinimų diegimą.
Kadangi įsilaužėlių susidomėjimas „macOS“ yra maždaug dešimt kartų didesnis nei 2019 m., „Mac“ naudotojai, nepaisant „Apple“ pastangų užtikrinti kuo saugesnę operacinę sistemą, turi labiau nei bet kada suprasti, kad jiems vis tiek gali kilti pavojus.
Nesisiųskite bet ko iš bet kur, neatidarinėkite failų net nepasidomėję „kas tai yra ir kodėl tai jums atsiųsta“ ir nespaudinėkite „Yes“, „OK“, „Agree“ ir panašiai net nesusimąstę kodėl tas pranešimas jums rodomas.