我们最近发现了一种针对 macOS 的新型恶意加载程序,可能与BlueNoroff APT 团伙及其正在进行的名为RustBucket的活动有关。众所周知,威胁行为者会攻击金融组织,特别是其活动与加密货币有任何关系的公司,以及持有加密资产或对该主题感兴趣的个人。有关新加载程序变体的信息首先出现在 X(以前称为 Twitter)帖子中。
关于新装载机的原始 X(以前的 Twitter)帖子
早期的 RustBucket 版本通过伪装成 PDF 查看器的应用程序传播其恶意负载。相比之下,这种新品种是在一个 ZIP 存档中发现的,其中包含一个名为“加密资产及其对金融稳定的风险”的 PDF 文件,并带有显示相应标题页的缩略图。ZIP 存档内保存的元数据表明该应用程序于 2023 年 10 月 21 日创建。
应用程序结构
文档缩略图
档案的具体传播方式尚不清楚。网络犯罪分子可能会像过去的活动一样通过电子邮件将其发送给目标。
该应用程序被发现时具有有效签名,但证书已被撤销。
应用程序签名详细信息:
Signature #1: Valid
Chain #1:
Verified: True
Serial: 6210670360873047962
Issuer: CN=Developer ID Certification Authority,OU=Apple Certification Authority,O=Apple Inc.,C=US
Validity: from = 20.10.2023 3:11:55
to = 01.02.2027 22:12:15
Subject: UID=2C4CB2P247,CN=Developer ID Application: Northwest Tech-Con Systems Ltd (2C4CB2P247),OU=2C4CB2P247,O=Northwest Tech-Con Systems Ltd,C=CA
SHA-1 Fingerprint: da96876f9535e3946aff3875c5e5c05e48ecb49c
Verified: True
Serial: 1763908746353189132
Issuer: C=US,O=Apple Inc.,OU=Apple Certification Authority,CN=Apple Root CA
Validity: from = 01.02.2012 22:12:15
to = 01.02.2027 22:12:15
Subject: CN=Developer ID Certification Authority,OU=Apple Certification Authority,O=Apple Inc.,C=US
SHA-1 Fingerprint: 3b166c3b7dc4b751c9fe2afab9135641e388e186
Verified: True (self-signed)
Serial: 2
Issuer: C=US,O=Apple Inc.,OU=Apple Certification Authority,CN=Apple Root CA
Validity: from = 25.04.2006 21:40:36
to = 09.02.2035 21:40:36
Subject: C=US,O=Apple Inc.,OU=Apple Certification Authority,CN=Apple Root CA
SHA-1 Fingerprint: 611e5b662c593a08ff58d14ae22452d198df6c60该可执行文件用 Swift 编写,名为“EdoneViewer”,是一个通用格式文件,其中包含适用于英特尔和苹果芯片的版本。XOR 加密有效负载的解密由主函数CalculateExtameGCD 处理。当解密过程运行时,应用程序会向终端发出不相关的消息,试图麻痹分析人员的警惕性。
解密后的有效负载具有 AppleScript 格式:
有效负载被解密后执行的 AppleScript 代码
该脚本汇编并运行以下 shell 命令:
外壳命令
组装完成后,shell 命令将执行以下步骤:
- 下载 PDF 文件,将其保存在 /Users/Shared/Crypto-assets and their Risks for Financial stable.pdf 中,然后打开它。这是一个作为转移工具而启动的良性文件。
- PDF 诱饵的标题页
- 向服务器发送 POST 请求并将响应保存到名为“.pw”且位于 /Users/Shared/ 的隐藏文件中。
- 授予文件权限并使用 C&C 地址作为参数执行该文件。
C&C 服务器托管在 hxxp://on-global[.]xyz,这是一个最近于 2023 年 10 月 20 日注册的域名。我们无法找到该域与任何其他文件或威胁之间的任何链接。
.pw 文件是我们在 8 月份检测到的木马。与加载程序一样,这是一个通用格式文件:
.pw 文件的详细信息
该文件收集以下系统信息并将其发送到 C&C:
- 计算机名称
- 操作系统版本
- 时区
- 设备启动日期
- 操作系统安装日期
- 当前时间
- 正在运行的进程列表
每分钟循环收集和转发数据。该特洛伊木马期望以下三个命令之一作为响应:
程序收到0x0命令后,将该命令发送的数据保存到位于/Users/Shared/的名为“.pld”的共享文件中,并赋予其读/写/运行权限并执行:
写入并运行下载文件的代码片段
不幸的是,我们在分析过程中没有收到来自服务器的任何命令,因此我们无法找出后续攻击阶段的内容。该木马现在可以被大多数反恶意软件解决方案检测到:
VirusTotal 上发布的第二次下载的详细信息
IOC
Files
MD5哈希值 文件格式 文件名
1fddf14984c6b57358401a4587e7b950 Mach-O Fat EdoneViewer
d8011dcca570689d72064b156647fa82 Mach-O Fat .pw
90385d612877e9d360196770d73d22d6 Zip Crypto-assets and their risks for financial stability.zip
3b3b3b9f7c71fcd7239abe90c97751c0 Zip Crypto-assets and their risks for financial stability.zip
b1e01ae0006f449781a05f4704546b34 Zip Crypto-assets and their risks for financial stability.zip
80c1256f8bb2a9572e20dd480ac68759 PDF Crypto-assets and their risks for financial stability.pdf链接
URL 描述
hxxp://on-global[.]xyz/Ov56cYsfVV8/OJITWH2WFx/Jy5S7hSx0K/fP7saoiPBc/A== PDF文件网址
hxxp://on-global[.]xyz/Of56cYsfVV8/OJITWH2WFx/Jy5S7hSx0K/fP7saoiPBc/A== 木马网址参考链接:https://securelist.com/bluenoroff-new-macos-malware/111290/
图片来源网络目标可联系删除
