Geräte “RustBucket ist eine brandneue Art von Malware für Apple macOS, von der man annimmt, dass sie von einem nordkoreanischen Hacker mit monetären Zielen erstellt wurde. Die Malware kommuniziert mit Command-and-Control-Servern und lädt verschiedene Nutzdaten herunter. Laut Jamf Threat Labs, einem Unternehmen für die Verwaltung von Apple-Geräten, geht der Virus auf die BlueNoroff-Gang zurück, eine Untergruppe der umfassenderen Lazarus-Gruppe, die auch unter anderen Namen wie APT28 und Sapphire Sleet bekannt ist.

RustBucket und BlueNoroff werden aufgrund strategischer und operativer Ähnlichkeiten mit einem ersten Angriff auf japanische Finanzinstitute in Verbindung gebracht, den Kaspersky Ende 2022 aufdeckte. Als Teil einer Hackergruppe namens CryptoCore ist BlueNoroff für komplexe Malware-gestützte Diebstähle berüchtigt, die sich auf das SWIFT-Netzwerk und digitale Währungsbörsen konzentrieren.

Lesen Sie auch: “Neue EvilExtractor-Malware: Der All-in-One Stealer schlägt Wellen im Dark Web”

Jamf-Forscher fanden heraus, dass RustBucket als“Internal PDF” getarnt ist. Viewer”-Anwendung. Es handelt sich jedoch um ein AppleScript-Programm, das eine zusätzliche Nutzlast von einem entfernten Server abruft. Diese Ladung, auch als RustBucket bekannt, ist ein einfaches Objective-C-Programm, das die nächste Stufe der Angriffskette erst dann startet, wenn über das Programm auf ein mit einer Sprengfalle versehenes PDF-Dokument zugegriffen wird. Bei der PDF-Datei, die als Schlüssel zur Ausführung des Schadcodes dient, handelt es sich um ein neunseitiges Dokument, das vorgibt, eine “Anlagestrategie” anzubieten.

Es muss klar sein, wie der Erstzugang erlangt wurde oder ob die Angriffe erfolgreich waren. Die Ergebnisse zeigen jedoch, wie Angreifer ihre Toolkits modifizieren, um Multiplattform-Viren in Sprachen wie Go und Rust zu unterstützen. Die Lazarus Corporation ist derzeit in einen eskalierenden Angriff auf die Lieferkette verwickelt, bei dem 3CX infiltriert wurde und seine Windows- und macOS-Programme über trojanisierte Treiber des legalen Programms X_TRADER verseucht hat.

Das Reconnaissance General Bureau (RGB), Nordkoreas führende nachrichtendienstliche Organisation, beherbergt mehrere vom Staat finanzierte und illegale Hackerorganisationen, die unter dem Namen Lazarus-Projekt bekannt sind. Eine weitere, ebenso aktive Kategorie ist Kimsuky, die sich auf südkoreanische und US-amerikanische Unternehmen und Personen konzentriert, die sich auf Verteidigung und Sicherheit, insbesondere nukleare Sicherheit und Nichtverbreitungsvorschriften, spezialisiert haben und für den Staat, das Militär, die Produktion, das Bildungswesen und die Politik tätig sind.