朝鲜 Lazarus 黑客正在使用一种新技术,滥用 macOS 文件的扩展属性来传播研究人员称之为 RustyAttr 的新木马。
攻击者将恶意代码隐藏在自定义文件元数据中,并使用诱饵 PDF 文档来帮助逃避检测。
新技术类似于 2020 年 Bundlore 广告软件将其有效载荷隐藏在资源分支中以隐藏 macOS 有效载荷的方式。网络安全公司 Group-IB 的研究人员在野外的一些恶意软件样本中发现了该技术。
根据他们的分析,研究人员有一定把握地将这些样本归因于朝鲜APT组织 Lazarus。他们认为攻击者可能正在试验一种新的恶意软件交付解决方案。
这种方法并不常见,但被证明能够有效防止被检测,Virus Total 平台上的任何安全代理都不会标记这些恶意文件。
在文件属性中隐藏代码
macOS 扩展属性(EA)表示通常与文件和目录相关联的隐藏元数据,这些元数据不能通过 Finder 或终端直接看到,但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。
在 RustyAttr 攻击案例中,EA 名称为“test”,并包含一个 shell 脚本。
macOS 扩展属性内的 Shell 脚本,来源:Group-IB
存储 EA 的恶意应用程序是使用 Tauri 框架构建的,该框架结合了可以调用 Rust 后端上的函数的 Web 前端(HTML、JavaScript)。
当应用程序运行时,它会加载一个包含 JavaScript(“preload.js”)的网页,该网页从“测试”EA 中指示的位置获取内容并将其发送到“run_command”函数以执行 shell 脚本。
preload.js 内容,来源:Group-IB
为了在此过程中降低用户的怀疑程度,一些样本会启动诱饵 PDF 文件或显示错误对话框。
诱饵 PDF 隐藏了恶意的后台活动,资料来源:Group-IB
PDF 是从 pCloud 实例中获取的,用于公共文件共享,其中还包含与加密货币投资主题相关的名称条目,这与 Lazarus 的目标和目的一致。
Group-IB 发现 RustyAttr 应用程序的少数样本全部通过了 Virus Total 的检测测试,并且这些应用程序是使用泄露的证书签名的,尽管苹果公司已经撤销了该证书,但并未进行公证。
App 证书详情,来源:Group-IB
Group-IB 无法检索和分析下一阶段的恶意软件,但发现暂存服务器连接到 Lazarus 基础设施中的已知端点以尝试获取它。
执行流程,来源:Group-IB
尝试绕过 macOS
Group-IB 报告的案例与SentinelLabs 的另一份最新报告非常相似,该报告发现朝鲜APT组织 BlueNoroff 正在尝试使用类似但不同的技术在 macOS 中进行逃避攻击。
BlueNoroff 使用以加密货币为主题的网络钓鱼来诱骗目标下载已签名和公证的恶意应用程序。
这些应用程序使用修改后的“Info.plist”文件秘密触发与攻击者控制的域的恶意连接,并从该域检索第二阶段有效负载。
目前尚不清楚这些活动是否相关,但不同的活动集群通常会使用相同的信息来了解如何在不触发警报的情况下有效入侵 macOS 系统。
技术报告:https://www.group-ib.com/blog/stealthy-attributes-of-apt-lazarus/
新闻链接:
https://www.bleepingcomputer.com/news/security/hackers-use-macos-extended-file-attributes-to-hide-malicious-code/
