#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Neo_Net - успешный субъект киберпреступной угрозы, ответственный за многоступенчатую стратегию атаки, которая привела к краже более 350 000 евро и компрометации личной идентифицируемой информации (PII) тысяч жертв. Данное исследование подчеркивает необходимость бдительности и надежных мер безопасности для защиты учетных данных онлайн-банкинга и PII.
-----

Компании SentinelOne и vx-underground недавно провели первый конкурс Malware Research Challenge, в ходе которого был проведен глубокий анализ киберпреступного агента, известного как Neo_Net. В период с июня 2021 года по апрель 2023 года Neo_Net отвечал за весьма успешную кампанию по борьбе с электронной преступностью, направленную на клиентов известных банков по всему миру, в основном в Испании и Чили. Благодаря многоступенчатой стратегии атаки и целенаправленному использованию фишинговых SMS-сообщений, фишинговых панелей, троянов для Android и программного обеспечения Smishing, Neo_Net удалось похитить более 350 000 евро с банковских счетов жертв и скомпрометировать значительный объем персонально идентифицируемой информации (PII).

Neo_Net является организатором публичного профиля на GitHub, аккаунта в Telegram и платформы Ankarex Smishing-as-a-Service, которая нацелена на девять стран и предлагает на канале Ankarex лиды на продажу, включая имена жертв, адреса электронной почты, IBAN и номера телефонов. Neo_Net был связан с форумом macosfera.com, испаноязычным ИТ-форумом, где его адреса электронной почты были обнаружены в связи с несколькими созданными им фишинговыми панелями, направленными на испанские банки и другие учреждения. В настоящее время он проживает в Мексике и общается преимущественно на испанском языке.

Несмотря на использование в основном несложных инструментов и методов, Neo_Net и его аффилированные лица сумели успешно похитить сотни тысяч евро и скомпрометировать PII тысяч жертв по всему миру. Успех их кампаний может быть объяснен узконаправленным характером их операций: они часто фокусируются на одном банке и копируют свои сообщения, выдавая себя за агентов банка. Кроме того, из-за простоты SMS-шпионского ПО его трудно обнаружить, поскольку оно требует только разрешения на отправку и просмотр SMS-сообщений. Neo_Net также был замечен в повторном использовании скомпрометированной PII для получения дальнейшей прибыли.

Это комплексное исследование глобальной кампании киберпреступности Neo_Net подчеркивает необходимость оставаться бдительными и осведомленными о злоумышленниках и их тактике. Важно использовать надежные меры безопасности, такие как механизмы многофакторной аутентификации (MFA), а также дополнительные меры предосторожности для защиты учетных данных онлайн-банкинга и PII.

#ParsedReport #CompletenessMedium
03-07-2023

Chinese Threat Actors Targeting Europe in SmugX Campaign

https://research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign

Report completeness: Medium

Actors/Campaigns:
Smugx
Red_delta
Camaro_dragon

Threats:
Html_smuggling_technique
Plugx_rat
Dll_sideloading_technique

Victims:
Foreign affairs ministries and embassies in europe

Industry:
Government

Geo:
Hungary, China, Budapest, Chinese, Swedish, France

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1007, T1135

IOCs:
File: 9
Url: 1
IP: 5
Path: 5
Hash: 41
Domain: 2

Wallets:
harmony_wallet

Algorithms:
zip, rc4, xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Check Point Research обнаружила целенаправленную кампанию китайских угроз, использующих технику HTML Smuggling для распространения вредоносного ПО PlugX. Эта кампания имеет общие черты с деятельностью других китайских APT-акторов.-----

Компания Check Point Research недавно обнаружила целевую кампанию, проводимую китайским агентом угроз, направленную на правительственные организации в Европе. Кампания использует технику HTML Smuggling, которая используется для скрытия вредоносной полезной нагрузки внутри HTML-документов, что позволяет обойти сетевые меры обнаружения. После сложной цепочки заражения, включающей архивы или MSI-файлы, атаки внедряют PlugX - имплантат, обычно ассоциируемый с китайскими угрозами. Эта кампания называется SmugX и пересекается с ранее зарегистрированной деятельностью китайских APT-акторов RedDelta и Mustang Panda. Нет достаточных доказательств, чтобы связать эту кампанию непосредственно с Camaro Dragon.

Эта кампания использует несколько цепочек заражения, в которых применяется техника HTML Smuggling, что приводит к развертыванию полезной нагрузки PlugX. Большинство документов содержали дипломатический контент, непосредственно связанный с Китаем, например, письмо из посольства Сербии в Будапеште, документ с изложением приоритетов шведского председательства в Совете Европейского Союза, приглашение на дипломатическую конференцию, выпущенное Министерством иностранных дел Венгрии, и статью о двух китайских адвокатах по правам человека, приговоренных к более чем десятилетнему тюремному заключению.

Злоумышленники также использовали технику удаленного изображения для доступа к URL-адресу, содержащему изображение с одним пикселем. Эта техника, называемая отслеживанием пикселей, обычно используется в качестве разведывательного инструмента. При запросе удаленного изображения сервер злоумышленников регистрирует запрос, получая такую информацию, как IP-адрес, агент пользователя, а иногда и время доступа.

Две основные цепочки заражения происходят из HTML-файла, который сохраняет второй этап в папку Download в соответствии с настройками браузера жертвы. Второй этап может быть разным: в одной цепочке используется ZIP-архив, содержащий вредоносный LNK-файл, а в другой - JavaScript для загрузки MSI-файла с удаленного сервера. В первом сценарии HTML проносит ZIP-архив, содержащий вредоносный LNK-файл, который запускает PowerShell. PowerShell извлекает сжатый архив, встроенный в lnk-файл, и сохраняет его в каталоге %temp%. Архив содержит три файла: Легитимный исполняемый файл, используемый для боковой загрузки полезной нагрузки, вредоносная DLL, загружаемая боком, и полезная нагрузка PlugX. Во втором сценарии HTML Smuggling загружает файл JavaScript, который при выполнении загружает и исполняет MSI-файл с сервера злоумышленника.

PlugX - это инструмент удаленного доступа с модульной структурой, которая позволяет ему выполнять такие вредоносные действия, как кража файлов, захват экрана, регистрация нажатий клавиш и выполнение команд. Для обеспечения живучести полезная нагрузка PlugX копирует легитимную программу и DLL и сохраняет их в скрытом каталоге. Устойчивость вредоносной программы достигается путем добавления легитимной программы в ключ реестра Run. Агент угрозы отправил пакетный сценарий, чтобы стереть все следы своей деятельности.

Кампания SmugX имеет значительное сходство с деятельностью, приписываемой другими поставщиками безопасности RedDelta или Mustang Panda. К ним относятся инфраструктура, пути, целевая направленность и тактика заманивания, используемая в кампании. Вредоносная программа PlugX также практически не изменилась по сравнению с предыдущими появлениями, хотя один новый аспект был замечен - это использование RC4-шифрования полезной нагрузки, что является отходом от ранее использовавшегося XOR-шифрования.

#rstcloud
Twitter немного прифигел с изменениями в политике лицензирования своего API.
Пришлось теперь покупать подписку за 100 баксов в мес. Сейчас переписываем наш коннектор, т.к. наш прошлый подход требует подписки за 4200 баксов в мес., а для нас это пока существенная сумма :(

June's Cyber Battleground: Decoding Ransomware and APT Attacks in Europe

https://threatmon.io/wp-content/uploads/2023/07/junes-cyber-battleground-decoding-ransomware-and-apt-attacks-in-europe.pdf

#technique

A keystroke logger targeting the Remote Desktop Protocol (RDP) related processes, It utilizes a low-level keyboard input hook, allowing it to record keystrokes in certain contexts (like in mstsc.exe and CredentialUIBroker.exe)

https://github.com/TheD1rkMtr/TakeMyRDP

#technique

A command-line tool for reconnaissance and targeted write operations on Confluence and Jira instances.

https://github.com/werdhaihai/AtlasReaper

#technique

Tomcat backdoor based on CS blog

https://github.com/HackingLZ/TomcatBackdoorPoC

#technique

(Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails.

https://github.com/florylsk/RecycledInjector

#ParsedReport #CompletenessLow
04-07-2023

APT Profile: Turla

https://socradar.io/apt-profile-turla

Report completeness: Low

Actors/Campaigns:
Turla (motivation: cyber_espionage, financially_motivated, hacktivism, cyber_criminal)
Tomiris (motivation: cyber_espionage)
Dalbit (motivation: cyber_espionage)
Oilrig

Threats:
Uroburos
Watering_hole_technique
Andromeda
Kopiluwak
Quietcanary
Agent_btz
Tunnussched
Gazer
Carbon
Turla_silentmoon
Kazuar
Maze
Witchcoven
Neuron
Nautilus
Bondupdater
Topinambour
Rocketman
Process_injection_technique

Victims:
Government entities, militaries, embassies, education, high-tech, pharmaceuticals, retail, countries in europe, asia, middle east, france, romania, kazakhstan, poland, tajikistan, austria, russia, united states, saudi arabia, germany, india, armenia, belarus, netherlands, iran, uzbekistan, iraq

Industry:
Energy, Retail, Military, Education, Government, Healthcare

Geo:
Tajikistan, France, Austria, Uzbekistan, Russian, Iraq, Ukraine, Iranian, Belarus, Asia, Netherlands, Armenia, Kazakhstan, Russia, Iran, Germany, India, Romania, Poland

CVEs:
CVE-2013-3346 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- adobe acrobat (9.5.1, 9.3.3, 10.1, 9.4.2, 9.2, 9.3.4, 11.0.1, 9.5, 9.1, 10.1.5, 9.5.4, 10.0, 9.4.3, 9.5.3, 10.1.6, 10.0.3, 9.4.4, 11.0.2, 9.0, 10.1.1, 9.4.5, 9.4.1, 9.4.6, 9.3.2, 9.1.1, 9.3, 10.0.1, 9.1.3, 9.3.1, 10.1.2, 10.1.4, 11.0, 9.4.7, 9.1.2, 10.0.2, 10.1.3, 9.4, 9.5.2)
- adobe acrobat reader (11.0.2, 10.1, 10.0, 10.1.1, 9.5.1, 10.1.2, 10.1.3, 9.4.3, 10.0.3, 9.2, 10.1.6, 9.5.4, 9.1, 9.4.6, 10.1.5, 9.1.3, 9.5.3, 9.1.2, 9.3.3, 9.4.2, 9.1.1, 9.4.5, 11.0.1, 11.0.3, 9.3.4, 9.3, 9.0, 9.4, 9.3.2, 9.5, 9.5.2, 10.1.4, 10.0.1, 9.4.7, 9.4.4, 9.3.1, 10.0.2, 9.4.1, 11.0)

CVE-2013-5065 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- microsoft windows xp (*)
- microsoft windows 2003 server (*)


TTPs:
Tactics: 1
Technics: 49

IOCs:
File: 1

Soft:
winlogon

Languages:
visual_basic, python, javascript, java

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, chart: 2, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Turla - это группа передовых постоянных угроз (APT) с многолетней историей проведения кампаний кибершпионажа против широкого круга жертв в различных отраслях. Группа известна своей скрытностью и адаптивностью, она использует различные техники и инструменты для получения доступа к целевым системам. Turla в основном нацелена на организации в Украине, но ее жертвы находятся по всему миру, и группа была связана с несколькими громкими кампаниями кибершпионажа. Совпадающие характеристики Turla и Tomiris, другой APT-группы, сбили с толку исследователей кибербезопасности, и Turla остается активной и грозной угрозой.
-----

Turla - это передовая постоянная угроза (APT) из России, которая действует с конца 1990-х годов и считается одним из самых ранних примеров кибершпионажа. Ориентируясь в первую очередь на правительственные организации, военные и посольства, Turla имеет долгую историю проведения кампаний кибершпионажа против широкого круга жертв в различных отраслях, таких как высокие технологии, фармацевтика и розничная торговля. Группа известна своей скрытностью и адаптивностью, она часто меняет свою тактику, чтобы избежать обнаружения и сохранить устойчивость в целевых сетях.

Для получения первоначального доступа к целевым системам Turla использует спирфишинг, атаки "водяных дыр" и распространение вредоносного ПО по USB. Группа также захватывает просроченные домены, связанные с финансово мотивированным вредоносным ПО, и использует спутниковую связь для управления своим вредоносным ПО и утечки данных. Инструменты Turla включают вредоносные программы, разработанные на заказ, и общедоступные инструменты, такие как Agent.btz, ComRAT, KopiLuwak, TunnusSched, Gazer, Carbon, Hyperstack и Kazuar, которые используют уязвимости в Microsoft Windows, Adobe Flash и Oracle Java.

Turla в основном нацелена на организации в Украине, но ее жертвы находятся по всему миру, с особым вниманием к странам Европы, Азии и Ближнего Востока. Группа связана с несколькими громкими кампаниями кибершпионажа, включая Moonlight Maze, Agent.btz, Epic Turla, Witchcoven и RUAG Espionage Incident.

Национальный центр кибербезопасности Великобритании (NCSC) раскрыл в 2019 году, что Turla взяла под контроль инструменты Neuron и Nautilus, которые, как считалось ранее, были связаны с Turla, и в основном использовала их против целей, расположенных на Ближнем Востоке. Они также раскрыли, что Turla использовала иранские веб-оболочки и применяла панели управления PoisonFrog C2, изначально связанные с COBALT GYPSY (APT34), для распространения своего вредоносного ПО.

Пересекающиеся характеристики Turla и Tomiris, другой APT-группы, сбили с толку исследователей кибербезопасности. Аналитики Касперского обнаружили, что Tomiris стояла за некоторыми атаками, которые ранее приписывались Turla. В качестве возможной операции под ложным флагом или оппортунистического хода, призванного посеять смуту, Tomiris была замечена в использовании вредоносных инструментов Turla, что вызвало предположения о сотрудничестве или обмене информацией между этими группами.

Turla остается активной и грозной угрозой в мире кибершпионажа, имея за плечами долгую историю успешных кампаний против дорогостоящих целей. Адаптивность, скрытность и настойчивость этой группы делают ее опасным противником, который, вероятно, продолжит атаковать организации по всему миру.

#ParsedReport #CompletenessLow
04-07-2023

Hunting Ducks A Threat Hunters Take on Ducktail Stealer. Triage of the Loader

https://www.nextron-systems.com/2023/06/29/hunting-ducks-a-threat-hunters-take-on-ducktail-stealer

Report completeness: Low

Threats:
Ducktail_stealer

Victims:
Marketing companies

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1140, T1189, T1486, T1560, T1573, T1588, T1598

IOCs:
File: 5
Hash: 2

Soft:
net core, telegram, microsoft onedrive

Algorithms:
zip, aes

YARA: Found

Links:
https://github.com/icsharpcode/ILSpy
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_ducktail\_compromised\_certs\_jun23.yar

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DuckTail Stealer - это вредоносная программа, направленная на маркетинговые компании, распространяемая по электронной почте в виде поддельных маркетинговых кампаний и предложений о найме на работу. Она предназначена для проникновения в компании, имеющие доступ к рекламным аккаунтам в Интернете, и распространения вредоносной рекламы. Она быстро развивается, часто меняя свои загрузчики и сертификаты.
-----

DuckTail Stealer - известная вредоносная программа, направленная в первую очередь на маркетинговые компании. Она распространяется по электронной почте в виде поддельных маркетинговых кампаний и предложений о найме, со ссылками на ZIP-архивы, содержащие безобидные изображения, видео и поддельные документы. Документы, однако, на самом деле являются исполняемыми файлами, которые загружают вредоносную программу DuckTail. Эти файлы обычно представляют собой автономные двоичные файлы .NET apphost, которые имеют большой размер и могут быть запущены даже на машинах без установленной соответствующей среды выполнения. Кроме того, они часто используют сертификаты с кодовой подписью и вьетнамскими именами, а также используют API Telegram для утечки украденных данных.

Полезная нагрузка зашифрована AES и сжата, и ее можно определить с помощью SmartAssembly. Также полезную нагрузку можно обнаружить с помощью правил Yara. Кроме того, было замечено, что злоумышленники, стоящие за DuckTail, используют для размещения вредоносных архивов легитимные облачные сервисы хранения данных, такие как Google Drive, OneDrive и iCloud.

Основная цель DuckTail - проникновение в компании, имеющие доступ к рекламным аккаунтам в Интернете. Для этого он фокусируется на учетных записях Facebook Business, собирает с них дополнительную информацию и изменяет их данные. DuckTail также подозревается в распространении вредоносной рекламы через законные аккаунты Facebook.

Правила Valhalla охватывают загрузчики .NET, полезные нагрузки stealer, сценарии PowerShell и другие инструменты, используемые DuckTail, а тактика, используемая злоумышленниками, не претерпела значительных изменений с момента ее обнаружения. Однако DuckTail быстро развивается, меняя свои загрузчики и сертификаты часто в течение нескольких недель.

#ParsedReport #CompletenessMedium
04-07-2023

The suspected Maha grass organization uses the WarHawk backdoor variant Spyder to spy on many countries

https://mp-weixin-qq-com.translate.goog/s/ewGyvlmWUD45XTVsoxeVpg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_espionage)
Sidewinder

Threats:
Spyder
Warhawk
Remcos_rat

Victims:
China, Pakistan, Nepal police, Bangladesh air force

Industry:
Energy, Military, Education, Government

Geo:
China, Nepal, Bangladesh, Asian, Pakistan, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 2
Url: 16
File: 12
Hash: 9
IP: 2

Soft:
wechat, android

Algorithms:
xor, base64

Functions:
GetComputerNameExW, GetUserNameW, GetNativeSystemInfo, CreateInterfaace

Win API:
CreateMutexA, ComputerNameExW, UserNameW, NativeSystemInfo

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Maha Grass (APT-Q-36) - это южноазиатская APT-организация, ведущая деятельность по кибершпионажу против стран азиатского региона с 2009 года. Недавно Центром разведки угроз QiAnXin была обнаружена партия вредоносных образцов, связанных с Maha Grass. Они содержат бэкдор Spyder, имеющий много общего с ранее раскрытым бэкдором WarHawk, и легкий бэкдор, написанный на языке C#. QiAnXin Threat Intelligence Center рекомендует пользователям остерегаться фишинговых атак и принимать необходимые меры безопасности для защиты своих данных.
-----

Maha Grass, также известная как Patchwork, White Elephant, Hangover, Dropping Elephant и т.д., является южноазиатской организацией APT (Advanced Persistent Threat) с внутренним номером отслеживания APT-Q-36. Она активна с 2009 года и ведет деятельность по кибершпионажу против стран азиатского региона, нацеливаясь на организации в области государственного управления, вооруженных сил, электроэнергетики, промышленности, научных исследований и образования, дипломатии и экономики. Недавно Центр разведки угроз QiAnXin обнаружил партию вредоносных образцов, связанных с Maha Grass, в ходе ежедневного процесса отслеживания и анализа образцов.

Вредоносный образец маскируется под иконки документов, таких как Word, Excel и PDF, и может быть разделен на два типа. Первый тип, или оригинальная версия, был обнаружен в апреле, а второй тип, или новая версия, - в июне. Обе версии образца содержат информацию C2, но данные о конфигурации немного отличаются. Среди целей образца - Китай, Пакистан, полиция Непала и ВВС Бангладеш.

Бэкдор Spyder, используемый злоумышленниками, имеет много общего с ранее раскрытым бэкдором WarHawk, а судя по цифровому сертификату ранних образцов и связанным с ними образцам троянского коня Remcos, бэкдор Spyder, скорее всего, находится в руках Mahacao. Функции, поддерживаемые бэкдором, включают загрузку и выполнение последующих полезных нагрузок, выполнение команд, сбор и возврат информации о файлах и загрузку файлов. Он собирает информацию о зараженном устройстве, включая hwid (Machine GUID) в качестве идентификатора жертвы в коммуникации C2. После выбора определенной команды он отправляет "hwid=%s&deploy=%d&bakmout=1" на C2. Он также будет многократно взаимодействовать с C2, загружать и запускать последующие полезные нагрузки, и процесс взаимодействия подробно описан в тексте.

Кроме того, мы обнаружили еще один легкий бэкдор, написанный на C#, с одного из IP-адресов, используемых злоумышленниками. Этот бэкдор очень прост и, скорее всего, использовался в сочетании с другими вредоносными программами во время атаки.

Центр анализа угроз QiAnXin предупреждает пользователей о необходимости остерегаться фишинговых атак, не открывать ссылки из неизвестных источников, размещенные в социальных сетях, не нажимать и не выполнять вложения электронной почты из неизвестных источников, не запускать неизвестные файлы с преувеличенными названиями и не устанавливать приложения из неофициальных источников. Важно своевременно создавать резервные копии важных файлов, обновлять и устанавливать патчи.

#rstcloud
Нас включили в реестр отечественного ПО!
https://reestr.digital.gov.ru/reestr/1613350/

#rstcloud
Мы сами ходим в WHOIS сервера и парсим ответы от них (есть даже отдельное API)
Так вот!
Обновили парсеры для доменов: .fi (Finland), .tm (Turkmenistan), .gd (Grenada), .direct, .foundation, .ngo, .repair, .sport, .med, .love, .support, .sydney, .amsterdam, .rocks, .place

#ParsedReport #CompletenessLow
05-07-2023

BlueNoroff \| How DPRK s macOS RustBucket Seeks to Evade Analysis and Detection

https://www.sentinelone.com/blog/bluenoroff-how-dprks-macos-rustbucket-seeks-to-evade-analysis-and-detection

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Rustbucket
Applescript

Victims:
Macos users

Geo:
Dprk

ChatGPT TTPs:
do not use without manual check
T1543.001, T1036, T1519.001, T1064, T1543.003, T1547.001

IOCs:
Hash: 43
File: 2
Domain: 2

Soft:
macos

Algorithms:
xor, zip

Functions:
system

Languages:
rust, objective_c

Platforms:
arm, intel, apple, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Кампания RustBucket - это сложная APT-атака на пользователей macOS, приписываемая APT-группе BlueNoroff. Она начинается с апплета, маскирующегося под приложение PDF Viewer, и написана на Swift и Objective-C. Он имеет два универсальных двоичных файла Mach-O, вариант A и вариант B, причем последний содержит механизм сохранения. Угрожающий субъект прилагает значительные усилия для уклонения от анализа и обнаружения, и SentinelOne обеспечивает защиту от известных компонентов вредоносной программы RustBucket.
-----

Кампания RustBucket - это сложная APT, направленная на пользователей macOS. Она с большой долей уверенности приписывается APT BlueNoroff, которая, как принято считать, является дочерней компанией более широкой группы кибер-атак КНДР, известной как Lazarus. Атака начинается с апплета, который маскируется под приложение PDF Viewer. Этот апплет используется для записи второй стадии вредоносного ПО в папку /Users/Shared/, которая не требует разрешений и доступна для вредоносного ПО без необходимости обхода TCC.

Было установлено, что полезные нагрузки Stage 2 написаны на языках Swift и Objective-C и скомпилированы для кремниевых архитектур Intel и Apple. Размеры и артефакты кода образцов Stage 2 различны, но все полезные нагрузки имеют задачу получения Stage 3 с командно-контрольного сервера. В одном из новых вариантов Stage 2, написанном на Swift, строка User-Agent написана в нижнем регистре, что может указывать на то, что угрожающие субъекты анализируют строки пользовательских агентов на стороне сервера, чтобы отсеять нежелательные вызовы к C2.

Были найдены два универсальных двоичных файла Mach-O, вариант A и вариант B; вариант A имеет размер 11,84 МБ, а вариант B - 8,12 МБ. Вариант B содержит механизм сохранения, отсутствующий в предыдущих версиях RustBucket, в виде жестко закодированного LaunchAgent, записанного на диск по адресу \~/Library/LaunchAgents/com.apple.systemupdate.plist. Файл ErrorCheck записывает копию себя в \~/Library/Metadata/System Update.

Обширные усилия, предпринятые для уклонения от анализа и обнаружения, показывают, что угрожающий субъект знает о растущем распространении защитного ПО среди организаций, имеющих в своем парке устройства на базе macOS. Компания SentinelOne отслеживает кампанию RustBucket и продолжает анализ известных полезных нагрузок. Они также обеспечивают защиту от известных компонентов вредоносного ПО RustBucket, а также от попыток установить механизмы сохранения на устройствах macOS.