朝鲜黑客以其大胆的网络攻击而闻名,这些攻击主要是为了窃取资金,以资助朝鲜实现其目标并逃避经济制裁。Jamf的研究人员在macOS上发现了一些暗中传播的恶意软件,这些恶意软件似乎与朝鲜黑客有关。
他们在VirusTotal(一个用于检查文件是否存在恶意软件的网站)上发现了该恶意软件,但奇怪的是,该恶意软件被列为"干净"。该恶意软件有三个版本:一个用Go编写,另一个用Python编写,第三个使用Flutter编写。
Flutter是Google的开源框架,以允许开发人员通过Dart中的单一代码库为iOS、Android等平台构建应用程序而著称。Flutter因其跨平台的便捷性而广受欢迎,但它的设计也使其成为攻击者梦寐以求的工具,因为它的代码结构使分析变得非常棘手。这意味着黑客可以更容易地潜入恶意代码,而不会立即引起注意。
在这种情况下,恶意软件假装是一个直接从GitHub克隆的简单扫雷游戏,恶意软件载荷隐藏在一个dylib文件中。这些隐藏代码试图连接到位于mbupdate[.]linkpc[.]net的命令与控制(C2)服务器,该域与以前的朝鲜恶意软件有链接。幸运的是,当Jamf发现该服务器时,它并没有活动,只给出了"404NotFound"(未找到)的错误信息,因此攻击并没有完全展开。不过,这个恶意软件很狡猾,最初通过了苹果公司的公证程序,这意味着macOS安全系统认为它是安全的。
这种特殊设计的恶意软件还有一个特别有趣的技巧:它被设置为执行服务器发送的AppleScript命令,甚至反向运行以避免被发现。在Jamf的测试中,他们证实恶意软件可以远程运行C2服务器发送的任何AppleScript命令,如果攻击是实时的,黑客就可以实现完全控制。
目前看来,这可能只是一次黑客攻击试水。Jamf怀疑这些黑客正在试验如何让恶意软件躲过苹果的防御。Flutter本身没有恶意,但它有助于隐藏代码细节。这提醒我们,攻击者正在变得越来越聪明,他们以新的方式利用普通的开发者工具来掩盖自己的意图。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】