بدافزاری که macOS را هدف گرفته است

کمیته رکن چهارم – بدافزاری جدید کشف شده است که دستگاه‌هایی با سیستم عامل macOS را بدون اینکه ردی از خود به جا بگذارد، هدف می‌گیرد.

محققان امنیت سایبری Elastic Security Labs گونه جدیدی از بدافزار RustBucket، بدافزار شناخته شده‌ای که دستگاه های مجهز به سیستم عامل macOS را هدف قرار می دهد، کشف کرده‌اند.

این گونه جدید در نقاط پایانی قربانی، پایدارتر و شناسایی آن توسط برنامه‌های آنتی‌ویروس سخت‌تر است.

محققان در بیانیه‌ای گفتند: «این گونه از RustBucket، خانواده بدافزاری که سیستم‌های macOS را هدف قرار می‌دهد، قابلیت‌های پایداری دارد که قبلا مشاهده نشده بود. ظاهراً این بدافزار از یک روش زیرساخت شبکه پویا برای فرمان و کنترل استفاده می‌کند.»

برای آبوده شدن دستگاه، قربانی ابتدا باید یک فایل نصب macOS را دانلود و اجرا کند که یک PDFخوان کاربردی، اما مخرب را ارائه می‌دهد. سپس، آن‌ها باید سعی کنند و با استفاده از آن پی‌دی‌اف‌خوان در معرض خطر، یک PDF آلوده را باز کنند.

معمولاً مهاجمان سعی می‌کنند این بدافزار را از طریق ایمیل‌های فیشینگ یا از طریق کانال‌های رسانه‌های اجتماعی مانند لینکدین ارسال کنند.

RustBucket با یک روش ماندگاری منحصر به فرد ارائه می شود و از دامنه های DNS پویا برای فرمان و کنترل استفاده می‌کند و به طرز عجیبی، آنتی‌ویروس‌ها را دور می‌زند و مخفی باقی می‌ماند.

در بیانیه محققان همچنین آمده است: « این گونه از RustBucket به‌روز شده، با افزودن یک فایل plist در مسیر /Users//Library/LaunchAgents/com.apple.systemupdate.plist، پایداری خود را ایجاد می‌کند و باینری بدافزار را در فایل کپی می‌کند. مسیر /Users//Library/Metadata/System Update را دنبال کنید.»

محققان بیشتر تأیید کردند که به نظر نمی‌رسد مهاجمان شبکه گسترده ای را با این بدافزار ایجاد کنند. در عوض، آن‌ها موسسات مالی در آسیا، اروپا و ایالات متحده را هدف قرار می‌دهند و متخصصان را به این باور می‌رساند که انگیزه پشت این حمله مادی است.

همه شواهد حاکی از آن است که عوامل تهدید BlueNoroff، بخشی در گروه لازاروس (Lazarus) هستند.

لازاروس یک عامل تهدید شناخته شده، بخشی از اداره کل شناسایی (RGB) و آژانس اطلاعاتی اصلی کره شمالی است. به عبارت دیگر، لازاروس یک عامل تهدیدکننده کره شمالی است که توسط دولت حمایت می‌شود.

این گروه بیشتر به دلیل انجام برخی حملات سودآور فوق‌العاده علیه مشاغل ارزهای دیجیتال که صدها میلیون دلار از طریق دزدی و باج‌خواهی برای آن‌ها به ارمغان آورد، شناخته شده است.

در اواخر ژوئن ۲۰۲۳، خزانه‌داری ایالات متحده اعلام کرد که لازاروس در سال جاری حدود ۶۰۰ میلیون دلار ارز دیجیتال و ارز فیات را از مؤسسه‌های مالی و صرافی‌ها به سرقت برده است. در سال ۲۰۱۹، این برآورد حدود ۵۷۱ دلار بود.

این پل‌ها و پروژه‌های مالی غیرمتمرکز (DeFi) اهداف جذابی هستند زیرا مقادیر زیادی سرمایه را مدیریت می‌کنند، اما اغلب از نظر امنیت طراحی یا حسابرسی ضعیفی دارند.

محققان بر این باورند که کره شمالی از لازاروس برای جبران برخی از خسارات ناشی از تحریم‌های بین‌المللی استفاده می‌کند. سایر محققان حتی اظهار داشتند که پولی که از عملیات لازاروس به دست می‌آید برای تأمین مالی توسعه و ساخت سلاح‌های هسته‌ای استفاده می‌شود.

وقتی صحبت از RustBucket می‌شود، بدافزاری که macOS را هدف می‌گیرد، همیشه جالب است. عوامل تهدید معمولاً بیشتر به دستگاه‌های ویندوزی یا لینوکسی تمایل دارند. لینوکس بسیار قدرتمند است زیرا اکثر دستگاه‌های اینترنت اشیا (IoT)، اکثر بازار موبایل و حتی برخی از سرورها را تأمین می‌کند.

از سوی دیگر، ویندوز به دلیل محبوبیت و راه‌های بی‌شماری که با آن می‌توان به خطر افتاد، یک هدف جذاب برای عوامل تهدید است. طبق آمار Statista، در سه ماهه اول ۲۰۲۰، بیش از ۸۳ درصد از بدافزارها دستگاه‌های ویندوزی را هدف قرار داده‌اند و سهم بازار macOS در رده «سایر» قرار می‌گیرد که تنها ۱.۹۱ درصد را نشان می‌داد.

دیوید سهیون باک، محقق امنیت سایبری در تحلیل خود در لینکدین می‌گوید سابقه طولانی حملات macOS توسط لازاروس نشان می‌دهد که گروه‌های تهدید دائمی پیشرفته‌تر (APT) ممکن است از این روش پیروی کنند و بیشتر روی اکوسیستم اپل تمرکز کنند.

بعد از این اظهار نظر، نظرات مختلفی در مورد گروه لازاروس در فضای مجازی گفته شده است و برخی‌ها این گروه را خطرناک می‌دانند؛ در حالی که بسیاری هم معتقدند این گروه از تخصص خاصی ندارد و نمی‌تواند سازمان‌های دولتی را هدف بگیرد.

لازاروس چه ماهر باشد چه نباشد، اغلب در رسانه‌ها خبرساز می‌شود. از جمله، آن‌ها مسئول حمله به پل رونین، (۶۲۵ میلیون دلار رمزارز به سرقت رفته)، توسعه در پشتی DTrack، به خطر انداختن نرم‌افزارهای متن باز مختلف که توسط شرکت‌های بزرگ و کوچک و متوسط استفاده می‌شوند، هک درایورهای دل و سوءاستفاده از نقص log4j برای هدف قرار دادن شرکت‌های انرژی در ایالات متحده هستند.

منبع: افتانا