🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Biến thể mới của phần mềm độc hại 'RustBucket' đang nhắm vào người dùng macOS

03/07/2023

Các nhà nghiên cứu đang cảnh báo về phiên bản mới của phần mềm độc hại Apple macOS có tên là RustBucket với các khả năng được cải thiện để duy trì truy cập liên tục và tránh bị phần mềm bảo mật phát hiện.

RustBucket được phát triển bởi một tác nhân đe dọa Bắc Triều Tiên có tên BlueNoroff, là một thành viên của nhóm tin tặc Lazarus Group.

Phần mềm độc hại này được phát hiện vào tháng 4 năm 2023, được Jamf Threat Labs mô tả là một backdoor dựa trên AppleScript có khả năng truy xuất payload (các tệp, phần mềm độc hại) từ một máy chủ từ xa trong giai đoạn hai của cuộc tấn công.

Phần mềm độc hại giai đoạn hai được thiết kế để tải xuống phần mềm độc hại chính từ máy chủ điều khiển tấn công (C2) được dùng để thu thập thông tin bổ sung cũng như tải và thực thi các tệp độc hại khác trên hệ thống bị xâm nhập

Đây là phiên bản đầu tiên của mã độc BlueNoroff nhắm mục tiêu đến người dùng macOS, phiên bản .NET của RustBucket đã xuất hiện trước đó với các tính năng tương tự.

Trong một báo cáo phân tích về chiến dịch RustBucket vào cuối tháng 5 năm 2023, công ty bảo mật Sekoia của Pháp cho biết: “Hoạt động gần đây của Bluenoroff cho thấy các nhóm tấn công đang chuyển sang sử dụng ngôn ngữ đa nền tảng để phát triển phần mềm độc hại, tiếp tục nâng cao khả năng của chúng để mở rộng phạm vi nạn nhân”.

Chuỗi lây nhiễm bao gồm tệp cài đặt macOS dùng để cài đặt ứng dụng PDF Reader và một backdoor. Điểm đáng chú ý của các cuộc tấn công là hoạt động độc hại chỉ được kích hoạt khi tệp PDF độc hại được khởi chạy bằng ứng dụng đọc tệp PDF giả mạo. Phương tiện xâm nhập ban đầu bao gồm các email lừa đảo, cũng như sử dụng các nhân vật không có thật trên các mạng xã hội như LinkedIn.

Các cuộc tấn công nhắm mục tiêu chủ yếu vào các tổ chức liên quan đến tài chính ở Châu Á, Châu Âu và Hoa Kỳ, cho thấy hoạt động này hướng tới việc tạo doanh thu bất hợp pháp để trốn tránh các lệnh trừng phạt.

Điều làm cho biến thể mới này đáng chú ý là tính ‘dai dẳng’ (persistence) bất thường của nó và việc sử dụng domain DNS động (docsend.linkpc[.]net) làm cơ sở hạ tầng điều khiển tấn công, bên cạnh việc kết hợp các biện pháp để tránh bị phát hiện.

Để giảm thiểu nguy cơ bị tấn công, người dùng chỉ nên tải và cài đặt các ứng dụng từ những nguồn đáng tin cậy, không mở các tệp hoặc truy cập vào các đường link nhận được từ những nguồn không xác định.

Nguồn: thehackernews.com.

scrolltop