黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马,研究人员将其称为 RustyAttr。
威胁分子将恶意代码隐藏在自定义文件元数据中,并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。
根据他们的分析,由于无法确认任何受害者,研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。
这种方法并不常见,现在已被证明可以有效地防止检测,因为 Virus Total 平台上的安全代理都没有标记恶意文件。
在文件属性中隐藏代码
macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据,这些元数据在 Finder 或终端中不直接可见,但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下,EA 名称为“test”并包含 shell 脚本。
macOS 扩展属性内的 Shell 脚本
存储 EA 的恶意应用程序是使用 Tauri 框架构建的,该框架结合了可以调用 Rust 后端函数的 Web 前端(HTML、JavaScript)。当应用程序运行时,它会加载一个包含 JavaScript(“preload.js”)的网页,该网页从“测试”EA 中指示的位置获取内容,并将其发送到“run_command”函数以执行 shell 脚本。
preload.js 的内容
为了在此过程中降低用户怀疑,某些示例会启动诱饵 PDF 文件或显示错误对话框。
诱饵 PDF 隐藏恶意后台活动
该 PDF 是从用于公共文件共享的 pCloud 实例获取的,其中还包含名称与加密货币投资主题相关的条目,这与 Lazarus 的目的和目标一致。
RustyAttr 应用程序 Group-IB 的少数样本发现,所有应用程序都通过了 Virus Total 的检测测试,并且应用程序是使用泄露的证书进行签名的,苹果已撤销该证书,但未经过公证。
应用证书详细信息
Group-IB 无法检索和分析下一阶段的恶意软件,但发现临时服务器连接到 Lazarus 基础设施中的已知端点以尝试获取它。
执行流程
尝试 macOS 规避
Group-IB 报告的案例与 SentinelLabs 最近的另一份报告非常相似,该报告观察到朝鲜黑客 BlueNoroff 在 macOS 中尝试了类似但不同的规避技术。
BlueNoroff 使用以加密货币为主题的网络钓鱼来引诱目标下载经过签名和公证的恶意应用程序。
这些应用程序使用修改后的“Info.plist”文件来秘密触发与攻击者控制的域的恶意连接,从该域检索第二阶段有效负载。
目前尚不清楚这些活动是否相关,但不同的活动集群通常会使用相同的信息来了解如何有效地破坏 macOS 系统而不触发警报。
一组被称为“NachoVPN”的漏洞允许流氓 VPN 服务器在未修补的 Palo Alto 和 SonicWall SSL-VPN 客户端连接到它们时安装恶意更新。
安全研究人员发现,威胁者可以利用社交工程或网络钓鱼攻击中的恶意网站或文档,诱骗潜在目标将其 SonicWall NetExtender 和 Palo Alto Networks GlobalProtect VPN 客户端连接到攻击者控制的 VPN 服务器。
威胁者可以使用恶意 VPN 端点窃取受害者的登录凭据、以提升的权限执行任意代码、通过更新安装恶意软件,以及通过安装恶意根证书发起代码签名伪造或中间人攻击。
SonicWall 在 7 月份发布了补丁来解决 CVE-2024-29014 NetExtender 漏洞,距 5 月份初次报告两个月后,Palo Alto Networks 本周发布了针对 CVE-2024-5921 GlobalProtect 漏洞的安全更新。
虽然 SonicWall 表示客户必须安装 NetExtender Windows 10.2.341 或更高版本来修补安全漏洞,但 Palo Alto Networks 表示,除了安装 GlobalProtect 6.2.6 或更高版本之外,在 FIPS-CC 模式下运行 VPN 客户端还可以减轻潜在的攻击(其中修复了该漏洞)。
上周,AmberWolf 披露了有关这两个漏洞的更多详细信息,并发布了一个名为 NachoVPN 的开源工具,该工具模拟可以利用这些漏洞的流氓 VPN 服务器。
经证实,该工具与平台无关,能够识别不同的 VPN 客户端,并根据连接到它的特定客户端调整其响应。它也是可扩展的,建议在发现新漏洞时添加它们。
AmberWolf 还在该工具的 GitHub 页面上表示,它目前支持各种流行的企业 VPN 产品,例如 Cisco AnyConnect、SonicWall NetExtender、Palo Alto GlobalProtect 和 Ivanti Connect Secure。