Lukáš Petránek 
Severní Korea se stává stále více online hrozbou, její hackeři vedou několik kampaní a často se zaměřují na macOS.
Severní Korea patří mezi několik zemí, které jsou nejlépe známé tím, že jejím jménem pracují hackeři a příležitostně způsobují velké incidenty. Jedním z příkladů je narušení dat společnosti Sony Pictures v roce 2014, které bylo přímo obviněno ze Severní Koreje hackerů.
Ve zprávě vydané SentinelOne v pondělí jsou hackeři spojení se Severní Koreou stále aktivní a v roce 2023 strávili spoustu času a úsilí útoky na uživatele macOS.
Podle bezpečnostních výzkumníků byly RustBucket a KandyKorn dvě hlavní kampaně zaměřené na macOS v roce 2023.
RustBucket použil malware SwiftLoader jako prohlížeč PDF pro návnadu PDF dokument zaslaný obětem. SwiftLoader používal applet AppleScript a aplikaci založenou na Swift, která při použití k otevření speciálně vytvořeného PDF odemkla kód, který stáhl do Macu obsah založený na Rustu.
Mezitím KandyKorn zaútočil na blockchainové inženýry kryptoměnové platformy. Pomocí skriptů Python kampaň převzala hostitelovu aplikaci Discord a na cílové systémy nainstalovala backdoor RAT (trojský kůň pro vzdálený přístup).
Překračování potoků
I když byly tyto útoky samy o sobě sofistikované, zdá se, že tvůrci malwaru kombinují prvky softwaru z obou kampaní.
SwiftLoader od RustBucket byl spatřen v mnoha variantách, schopných běžet na hardwaru Intel i Apple Silicon. V jednom případě byla varianta SwiftLoader zabalena do souboru s názvem „Krypto-aktiva a jejich rizika pro finanční stabilitu.app.zip“ a měla několik prvků, které ji spojovaly s KandyKorn.
Tyto prvky zahrnují skript KandyKorn Python „FinderTools“ a také použití názvu souboru „.pld“, který se objevil v jiné variantě. Výzkumníci mají „střední důvěru“, že soubor .pld použitý v tomto hybridu odkazuje na stejný soubor použitý v samotném KandyKorn RAT.
„Přesahy v infrastruktuře, cílech a TTP“ také naznačují, že se tyto dva v některých variantách používají společně.
Analýza SentinelOne „potvrzuje zjištění jiných výzkumníků, že aktéři hrozeb spojených se Severní Koreou mají tendenci znovu využívat sdílenou infrastrukturu,“ uzavírá zpráva a je to příležitost k dalšímu pochopení aktivity a objevení nových indikátorů.
Jak se chránit před KandyKorn a RustBucket
Zatímco SentinelOne trvá na tom, že jeho produkt Singularity detekuje a chrání před všemi známými součástmi malwaru KandyKorn a RustBucket, uživatelé počítačů Mac se mohou stále chránit pomocí zdravého rozumu a osvědčených postupů online.
To zahrnuje pochopení zdrojů souborů a aplikací, neotevírání dokumentů nalezených nebo jim odeslaných z nedůvěryhodných zdrojů a ostražitost ohledně aktualizací zabezpečení.
Vzhledem k tomu, že zájem hackerů o macOS je přibližně desetkrát vyšší než v roce 2019, uživatelé počítačů Mac si musí být více než kdy dříve vědomi toho, že mohou být ohroženi, a to i přes snahu společnosti Apple udržet operační systém co nejbezpečnější.
Zdroj: appleinsider.com
