详细内容或原文请订阅后点击阅览
与朝鲜有关的 BlueNoroff 使用具有新持久性的 macOS 恶意软件
SentinelLabs 观察到与朝鲜有关的威胁行为者 BlueNoroff 使用一种新的多阶段恶意软件针对加密行业的企业。SentinelLabs 研究人员发现,与朝鲜有关的威胁行为者使用新的 macOS 恶意软件针对加密企业,这是被追踪为“隐藏风险”的活动的一部分。与 BlueNoroff 和过去的 RustBucket 活动有关的攻击者使用虚假的加密货币新闻电子邮件 […]
来源:Security Affairs _恶意软件与朝鲜有关的 BlueNoroff 使用具有新型持久性的 macOS 恶意软件
与朝鲜有关的 BlueNoroff 使用具有新型持久性的 macOS 恶意软件
Pierluigi Paganini Pierluigi Paganini 2024 年 11 月 7 日SentinelLabs 观察到与朝鲜有关的威胁行为者 BlueNoroff 使用一种新的多阶段恶意软件针对加密行业的企业。
SentinelLabs 的研究人员发现,一个与朝鲜有关的威胁行为者使用新的 macOS 恶意软件针对加密企业,这是被追踪为“隐藏风险”的活动的一部分。攻击者与 BlueNoroff 和过去的 RustBucket 活动有关,使用虚假的加密货币新闻电子邮件和伪装成 PDF 的恶意应用程序。
BlueNoroff RustBucketSentinelLabs 研究人员推测,自 2024 年 7 月以来,与朝鲜有关的行为者将目标对准了加密行业,这是“隐藏风险”活动的一部分。攻击者通过 zshenv 配置文件利用了一种独特的、新颖的持久性方法。
zshenv最初的攻击媒介是一封钓鱼电子邮件,其中包含指向恶意应用程序的链接,该链接伪装成与加密货币主题相关的 PDF 文档的链接,例如“比特币价格新一轮飙升背后的隐藏风险”、“山寨币第 2.0 季——值得关注的隐藏宝石”和“稳定币和 DeFi、CeFi 的新时代”。
模仿 PDF 文件的植入程序托管在 delphidigital[.]org 上。
网络钓鱼消息冒充真人并转发来自加密货币影响者的消息,而 PDF 复制对比特币 ETF 的真实研究以使其看起来合法。
第一阶段是用 Swift 编程语言编写的 Mac 应用程序。
Education.LessonOne
LessonOne
报告
报告
Rosetta 仿真框架
名为“growth”的恶意软件二进制文件是一个 5.1 MB 的未签名 C++ 文件,可供研究人员通过 SentinelLabs 进行分析。
.zshenv
.zshrc
/tmp/.zsh_init_success
在 Twitter 上关注我:@securityaffairs 和 Facebook 和 Mastodon
Facebook (