RustBucket Mac 恶意软件归因于 BlueNoroff 威胁演员
移动设备管理公司 Jamf 发现了一种名为 RustBucket 的新型恶意软件,该恶意软件被用于攻击 Apple 设备。
该恶意软件被认为与 BlueNoroff 高级持续威胁组织有关,该组织是臭名昭著的威胁组织 Lazarus 的一个子组织。该恶意软件伪装成名为 Internal PDF Viewer 的合法 PDF 查看器应用程序,它由两个阶段组成。
第一阶段是一个未签名的应用程序,它从命令和控制服务器下载第二阶段。第二阶段是伪装成合法 Apple 捆绑标识符的签名应用程序。
RustBucket 恶意软件的两阶段设计使其难以分析,尤其是在命令和控制服务器离线的情况下。目前,只有少数安全供应商检测到 RustBucket 的两个阶段。但是,执行攻击需要打开正确的 PDF 文件,这会启动攻击者与恶意软件之间的通信。为避免成为 RustBucket 的受害者,macOS 用户应始终保持 Gatekeeper 处于活动状态。
像 RustBucket 这样的恶意软件是如何分布的?
RustBucket 恶意软件的确切分发方法目前尚不清楚。但是,据信该恶意软件很可能通过网络钓鱼电子邮件或利用目标系统中的漏洞进行传播。该恶意软件伪装成合法的 PDF 查看器应用程序,可以欺骗用户认为可以安全下载和执行。
安装后,RustBucket 能够从命令和控制服务器下载额外的恶意软件组件,从而允许攻击者控制受感染的系统。用户在打开附件或下载软件时务必小心谨慎,并及时更新操作系统和安全软件以降低感染风险。