RustBucket Mac 惡意軟件歸因於 BlueNoroff 威脅演員
移動設備管理公司 Jamf 發現了一種名為 RustBucket 的新型惡意軟件,該惡意軟件被用於攻擊 Apple 設備。
該惡意軟件被認為與 BlueNoroff 高級持續威脅組織有關,該組織是臭名昭著的威脅組織 Lazarus 的一個子組織。該惡意軟件偽裝成名為 Internal PDF Viewer 的合法 PDF 查看器應用程序,它由兩個階段組成。
第一階段是一個未簽名的應用程序,它從命令和控制服務器下載第二階段。第二階段是偽裝成合法 Apple 捆綁標識符的簽名應用程序。
RustBucket 惡意軟件的兩階段設計使其難以分析,尤其是在命令和控制服務器離線的情況下。目前,只有少數安全供應商檢測到 RustBucket 的兩個階段。但是,執行攻擊需要打開正確的 PDF 文件,這會啟動攻擊者與惡意軟件之間的通信。為避免成為 RustBucket 的受害者,macOS 用戶應始終保持 Gatekeeper 處於活動狀態。
像 RustBucket 這樣的惡意軟件是如何分佈的?
RustBucket 惡意軟件的確切分發方法目前尚不清楚。但是,據信該惡意軟件很可能通過網絡釣魚電子郵件或利用目標系統中的漏洞進行傳播。該惡意軟件偽裝成合法的 PDF 查看器應用程序,可以欺騙用戶認為可以安全下載和執行。
安裝後,RustBucket 能夠從命令和控制服務器下載額外的惡意軟件組件,從而允許攻擊者控制受感染的系統。用戶在打開附件或下載軟件時務必小心謹慎,並及時更新操作系統和安全軟件以降低感染風險。