【2023-11-28 21:02:13爱思瑞网快讯】
朝鲜成为越来越多的网络威胁,其黑客进行了多次攻击,并经常以macOS为目标。
朝鲜是众所周知有黑客为其效力的许多国家之一,而且偶尔会造成重大事件。一个例子是2014年索尼影业的数据泄露,这完全归咎于与朝鲜相关的黑客。
根据SentinelOne于周一发布的一份报告,与朝鲜相关的黑客仍然活跃,并且在2023年花费了大量时间和精力攻击macOS用户。
根据安全研究人员的说法,RustBucket和KandyKorn是2023年针对macOS的两个主要攻击活动。
RustBucket使用SwiftLoader恶意软件作为诱饵PDF文档的PDF查看器发送给受害者。SwiftLoader使用了一个AppleScript小程序和一个基于Swift的应用程序,当用于打开一个特制的PDF时,解锁了下载一个基于Rust的有效载荷到Mac的代码。
与此同时,KandyKorn攻击了一个加密交易所平台的区块链工程师。通过使用Python脚本,该攻击活动接管了主机的Discord应用,并在目标系统上安装了一个后门远程访问木马。
交叉行动
尽管这些攻击本身都很复杂,但恶意软件创建者似乎正在将两个攻击活动的元素相结合。
RustBucket的SwiftLoader已经有多个变种出现,能够在Intel和Apple Silicon硬件上运行。在一个实例中,SwiftLoader变体被打包在一个名为”Crypto-assets and their risks for financial stability.app.zip”的文件中,并且有多个元素将其与KandyKorn联系起来。
这些元素包括一个名为”FinderTools”的KandyKorn Python脚本,以及在另一个变种中出现的一个名为”.pld”的文件名。研究人员”中等信心”认为,在这个混合型恶意软件中使用的.pld文件与KandyKorn RAT本身使用的相同。
“基础设施、目标和TTPs的重叠”也是表明两者在某些变种中一起使用的迹象。
SentinelOne的分析”证实了其他研究人员的研究结果,即朝鲜相关威胁行为者重用共享基础设施的倾向”,该报告得出结论,这是一个进一步了解活动并发现新指标的机会。
如何保护自己免受KandyKorn和RustBucket的攻击
尽管SentinelOne坚称其Singularity产品可以检测和保护所有已知的KandyKorn和RustBucket恶意软件组件,但Mac用户仍然可以通过遵循常识和最佳实践来保护自己。
这包括了解文件和应用程序的来源,不要打开来自不可信来源的文件,以及对安全更新保持警惕。
由于黑客对macOS的兴趣约为2019年的十倍,Mac用户需要比以往更加警惕,尽管苹果一直试图使操作系统尽可能安全。