Artikkelit

Apple-laitteiden etähallintaan ja tietoturvaan erikoistunut yhdysvaltalainen Jamf on identifoinut uudenlaisen kyberuhkan Mac-laitteille.

Mac-käyttäjät ovat uudenlaisten kyberhyökkäysten kohteena. Jamf Threat Labs on tunnistanut uuden haittaohjelman, joka kohdistuu MacOS-käyttäjiin. Kyseinen RustBucket-haittaohjelma on yhteydessä ulkoisiin palvelimiin ladatakseen ja suorittaakseen haitallista koodia. Haittaohjelman tekijällä on hyvin todennäköisesti yhteyksiä Lazarus-ryhmään, joka on Pohjois-Korean rahoittama.

Haittaohjelma toimii seuraavasti: Aluksi käyttäjää houkutellaan lataamaan PDF-lukusovellus. Kun sillä avataan tietty PDF-tiedosto, ohjelmisto ottaa yhteyttä hyökkääjään ja käynnistää yhteyden sen ja haitallisen ohjelmiston välillä. 

Erilaisia PDF-tiedostoja käytetään tämän tästä tietoturvahyökkäyksiin Windows-laitteita vastaan, mutta toistaiseksi on havaittu vain yksi PDF-tiedosto, joka vaikuttaa MacOS-käyttäjiin.

RustBucket-hyökkäyksissä havaittu PDF-dokumentti on 9-sivuinen ja sisältää tietoa pieneltä yritykseltä, joka vaikuttaa olevan teknologiastartupeihin sijoittava riskisijoittaja. Kun PDF-lukuohjelma on asennettu, RustBucketilla on kyky ladata lisää haitallisia komponentteja, minkä ansiosta hyökkääjä voi saada hallinnan tartunnan saaneesta järjestelmästä. 

Vastaavia hyökkäyksiä myös Windowsille

RustBucketin takana epäillään olevan ryhmä, joka on Pohjois-Korean tukema BlueNoroff. BlueNoroffin puolestaan uskotaan olevan alaryhmä tunnetulle Lazarukselle, joka on jo pitkään kohdistanut hyökkäyksiä juuri Apple-laitteisiin.

BlueNoroffin tiedetään kohdistavan hyökkäyksiä erityisesti rahoituslaitoksiin, kuten riskipääomayhtiöihin, krypto-startupeihin ja pankkeihin. Ryhmän yhdistäminen uuteen RustBucket-haittaohjelmaan johtuu siitä, että siinä on samankaltaisuuksia aiempien Windows-hyökkäysten kanssa. Windows-hyökkäyksissä ryhmä loi väärennettyjä verkkotunnuksia, jotka muistuttivat riskipääomayhtiöiden ja pankkien domaineita. Nyt tätä käyttäjien manipulointi -taktiikkaa (Social Engineering) käytetään siis myös MacOS-hyökkäyksissä. Samoin kuin RustBucketissa, myös Windows-hyökkäyksissä käytetään PDF-tiedostoa, joka oli erityisesti suunniteltu tähän tarkoitukseen.

RustBucketin leviämistapa ei ole vielä täysin selvä. On kuitenkin todennäköistä, että haittaohjelmaa levitetään kalasteluviesteillä, joissa käyttäjää huijataan uskomaan, että PDF-sovelluksen voi turvallisesti ladata ja käynnistää.

Hei! Luitko jo tämän?

Uusi supertietokone ”tekee jokaisesta koodarin”