“Lazarus Subgroep slaat opnieuw toe: Nieuwe RustBucket Malware bedreigt Apple

Reading Time: ( Word Count: )

april 25, 2023
Nextdoorsec-course

Apparaten “RustBucket is een gloednieuw soort malware voor Apple macOS dat vermoedelijk is gemaakt door een Noord-Koreaanse hacker met monetaire doelstellingen. De malware communiceert met commando- en controleservers en downloadt verschillende payloads. Het virus werd getraceerd naar de BlueNoroff bende, een subset van de meer omvattende Lazarus groep die onder verschillende andere namen heet, met name APT28 en Sapphire Sleet, volgens het Apple apparaatbeheer bedrijf Jamf Threat Labs.

RustBucket en BlueNoroff zijn gekoppeld vanwege strategische en operationele overeenkomsten met een eerste aanval op Japanse financiële instellingen die Kaspersky eind 2022 bekendmaakte. Als onderdeel van een hackersgroep die bekend staat als CryptoCore, is BlueNoroff berucht om complexe diefstallen met malware die gericht zijn op het SWIFT-netwerk en de uitwisseling van digitale valuta.

Lees ook: “Nieuwe EvilExtractor Malware: De alles-in-één stealer die golven maakt op het Dark Web”.

Nieuwe RustBucket-malware bedreigt Apple

Jamf-onderzoekers ontdekten dat RustBucket vermomd is als een“Interne PDF“. Viewer” toepassing. Toch is het een AppleScript-programma om een extra lading te krijgen van een verre server. Deze lading, ook bekend als RustBucket, is een eenvoudig Objective-C programma dat de volgende fase van de aanvalsketen pas start zodra een met boobytraps gevuld PDF-document met behulp van het programma wordt benaderd. Het PDF-bestand dat als sleutel wordt gebruikt om de kwaadaardige code uit te voeren, is een document van negen pagina’s waarin een “investeringsstrategie” wordt voorgesteld.

Het moet duidelijk zijn hoe de eerste toegang is verkregen en of de aanvallen geslaagd zijn. De resultaten laten echter zien hoe aanvallers hun toolkits aanpassen om multiplatformvirussen in talen als Go en Rust te ondersteunen. De Lazarus Corporation is momenteel betrokken bij een escalerende ketenaanval waarbij 3CX is geïnfiltreerd en zijn Windows- en macOS-programma’s zijn besmet via getrojaniseerde drivers van het legale programma X_TRADER.

Het Reconnaissance General Bureau (RGB), de belangrijkste organisatie voor het verzamelen van inlichtingen in Noord-Korea, is de thuisbasis van verschillende door de staat gefinancierde en illegale hackers die gezamenlijk bekend staan als het Lazarus Project. Een andere even actieve categorie is Kimsuky, die zich richt op Zuid-Koreaanse en in de VS gevestigde bedrijven en personen die gespecialiseerd zijn in defensie en veiligheid, met name nucleaire veiligheid en non-proliferatieregelgeving, en die de staat, het leger, de productie, het onderwijs en de beleidsvorming dienen.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

“Apple neutraliseert misbruikte kwetsbaarheden: Een uitgebreide update”

Apple heeft beveiligingsverbeteringen geïntroduceerd om 'zero-day'-kwetsbaarheden te neutraliseren die zijn ...

“De AI-prestaties van ChatGPT: Verder dan de Turingtest of nog niet helemaal?”

ChatGPT, een kunstmatige intelligentie chatbot van OpenAI, heeft door zijn buitengewone capaciteiten veel stof ...

“Verliest Threads zijn draad? De Twitter rivaal van Instagram nader bekeken”.

Een artikel van de Wall Street Journal van vrijdag waarschuwde dat Instagram's nieuwe concurrent voor Twitter, ...

“VirusTotal’s datalek: Menselijke fout of systeemfout?”

Vrijdag betuigde VirusTotal spijt over het onopzettelijk blootstellen van de gegevens van meer dan 5.600 klanten ...
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *