朝鲜黑客以其大胆的网络攻击而闻名,这些攻击主要是为了窃取资金,以资助朝鲜实现其目标并逃避经济制裁。 Jamf的研究人员在macOS上发现了一些暗中传播的恶意软件,这些恶意软件似乎与朝鲜黑客有关。
他们在 VirusTotal(一个用于检查文件是否存在恶意软件的网站)上发现了该恶意软件,但奇怪的是,该恶意软件被列为”干净”。 该恶意软件有三个版本:一个用 Go 编写,另一个用 Python 编写,第三个使用 Flutter 编写。
Flutter是 Google 的开源框架,以允许开发人员通过 Dart 中的单一代码库为 iOS、Android 等平台构建应用程序而著称。 Flutter 因其跨平台的便捷性而广受欢迎,但它的设计也使其成为攻击者梦寐以求的工具,因为它的代码结构使分析变得非常棘手。 这意味着黑客可以更容易地潜入恶意代码,而不会立即引起注意。
在这种情况下,恶意软件假装是一个直接从 GitHub 克隆的简单扫雷游戏,恶意软件载荷隐藏在一个 dylib 文件中。 这些隐藏代码试图连接到位于 mbupdate[.]linkpc[.]net 的命令与控制 (C2) 服务器,该域与以前的朝鲜恶意软件有链接。 幸运的是,当 Jamf 发现该服务器时,它并没有活动,只给出了”404 Not Found”(未找到)的错误信息,因此攻击并没有完全展开。 不过,这个恶意软件很狡猾,最初通过了苹果公司的公证程序,这意味着 macOS 安全系统认为它是安全的。
这种特殊设计的恶意软件还有一个特别有趣的技巧:它被设置为执行服务器发送的 AppleScript 命令,甚至反向运行以避免被发现。 在 Jamf 的测试中,他们证实恶意软件可以远程运行 C2 服务器发送的任何 AppleScript 命令,如果攻击是实时的,黑客就可以实现完全控制。
目前看来,这可能只是一次黑客攻击试水。 Jamf 怀疑这些黑客正在试验如何让恶意软件躲过苹果的防御。 Flutter 本身没有恶意,但它有助于隐藏代码细节。 这提醒我们,攻击者正在变得越来越聪明,他们以新的方式利用普通的开发者工具来掩盖自己的意图。
暂无评论内容