北韓駭客部署針對 macOS 的創新惡意軟體
網路安全專家一直指責北韓駭客公然進行網路入侵,其主要目的是竊取資金以支持國家舉措並逃避國際制裁。Jamf最近進行的研究揭示了與這些惡意行為者相關的複雜惡意軟體。這種特殊的惡意軟體是在 VirusTotal 上發現的,VirusTotal 是用於掃描檔案中是否存在惡意內容的熱門服務;有趣的是,該惡意軟體最初被歸類為「乾淨」。這個惡意軟體有三個不同的版本:一個是用 Go 開發的,另一個是用 Python 開發的,第三個是使用 Flutter 開發的。
Flutter:開發者與網路犯罪分子的雙面刃
Flutter 是 Google 創建的開源框架,使開發人員能夠從單一 Dart 程式碼庫為多個平台(例如 iOS 和 Android)製作應用程式。這種跨平台實用程式使 Flutter 成為合法開發人員的寶貴資產,但它也成為網路犯罪分子的一個有吸引力的選擇。 Flutter 固有的複雜程式碼結構可能會掩蓋惡意軟體,使安全系統難以偵測潛在威脅。
偽裝的威脅:克隆遊戲
該惡意軟體以一款平庸的掃雷遊戲為幌子運行,該遊戲是從 GitHub 克隆的。其惡意意圖隱藏在動態程式庫 (dylib) 檔案中,該檔案旨在與位於 的命令和控制 (C2) 伺服器建立連線mbupdate.linkpc.net。該域名以前與北韓惡意軟體有關聯。幸運的是,當 Jamf 團隊調查時,他們發現伺服器處於休眠狀態,僅傳回「404 Not Found」錯誤,從而阻止了攻擊的發生。
欺騙性執行與潛在危險
該惡意軟體的一個特別聰明的方面是它能夠執行從 C2 伺服器發送的 AppleScript 命令,並採用獨特的反向運行技術來逃避偵測。 Jamf 的實驗證實了該惡意軟體能夠遠端執行任何 AppleScript 命令,其中包括那些如果攻擊繼續執行則可以讓駭客對受感染系統進行廣泛控制的命令。
結論和建議
這起事件似乎是駭客的初步測試,顯示他們正在磨練躲避蘋果安全措施的技術。雖然 Flutter 本身並無惡意,但其設計本質上有助於掩蓋有害程式碼,凸顯了合法開發工具被重新用於惡意目標的令人不安的趨勢。隨著網路安全威脅的發展,用戶(尤其是企業環境中的用戶)仍然必須保持警惕並採用最佳安全實踐。
發佈留言