Slow Mist 23pds Попередження: Lazarus Group опублікувала новий набір інструментів для macOS, орієнтований на криптовалюти

Головний директор з інформаційної безпеки 23pds компанії Mоg Mist опублікував попередження 22 квітня, заявивши, що хакерська група Північної Кореї Lazarus Group випустила новий нативний інструментарій шкідливого ПЗ для macOS «Mach-O Man», спеціально націлений на індустрію криптовалют і керівників компаній з високою цінністю.

Методи атаки та цілі

Згідно з аналітичним звітом Mauro Eldritch, цього разу атака використовує підхід ClickFix: зловмисники надсилають через Telegram (з використанням скомпрометованого облікового запису контакту) посилання, замасковане під законне запрошення на зустріч, щоб спрямувати ціль на фальшивий вебсайт, що імітує Zoom, Microsoft Teams або Google Meet, і пропонують користувачу виконати на кінцевій системі macOS команду для «виправлення» проблем із з’єднанням. Така дія дає зловмисникам доступ до системи без спрацювання традиційних механізмів безпеки.

Дані, які становлять інтерес для атаки, включають: облікові дані й Cookie, збережені браузером, дані macOS Keychain, а також дані розширень браузерів Brave, Vivaldi, Opera, Chrome, Firefox і Safari. Викрадені дані витікають через Telegram Bot API; у звіті зазначено, що зловмисники розкрили токен Telegram-бота (помилка OPSEC), що послаблює їхню безпеку дій.

Основними мішенями є розробники, керівники та особи, які приймають рішення, у середовищах високої цінності, зокрема в фінтех- і криптовалютній індустріях, а також там, де macOS широко використовується.

Основні компоненти інструментарію Mach-O Man

Згідно з технічним аналізом Mauro Eldritch, набір інструментів складається з таких ключових модулів:

teamsSDK.bin：початковий інсталятор, маскується під Teams, Zoom, Google або системний застосунок, виконує базове визначення системних відбитків

D1{довільний рядок}.bin：системний аналізатор, збирає назву хоста, тип CPU, інформацію про операційну систему та список розширень браузера й надсилає на C2-сервер

minst2.bin：модуль персистентності, створює каталог маскування «Antivirus Service» і LaunchAgent, щоб забезпечити стабільне виконання після кожного входу в систему

macrasv2：кінцевий викрадач, збирає облікові дані браузера, Cookie та записи macOS Keychain, пакує й витікає через Telegram, а також самостійно видаляє себе

Підсумок ключових індикаторів компрометації (IOC)

Згідно з опублікованими Mauro Eldritch IOC:

Шкідливі IP-адреси：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

Шкідливі домени：update-teams[.]live / livemicrosft[.]com

Ключові файли (частково)：teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

Порти C2-зв’язку：8888 і 9999; основне використання — характерний рядок User-Agent клієнта Go HTTP

Повні хеш-значення та матриця ATT&CK див. в оригінальному дослідженні Mauro Eldritch.

Поширені запитання

«Mach-O Man» інструментарій націлений на які індустрії та цілі?

Згідно з попередженням 23pds компанії Mоg Mist і дослідженням BCA LTD, «Mach-O Man» насамперед націлений на фінтех і криптовалютну індустрію, а також на середовища високої цінності, де macOS широко використовується, зокрема на групи розробників, керівників і осіб, які приймають рішення.

Як зловмисники спонукають користувачів macOS виконувати шкідливі команди?

Згідно з аналізом Mauro Eldritch, зловмисники надсилають через Telegram посилання, замасковане під законне запрошення на зустріч, що спрямовує користувача на фальшивий вебсайт, який імітує Zoom, Teams або Google Meet. Далі вони пропонують користувачеві виконати на кінцевій системі macOS команду «для виправлення» проблем із з’єднанням, тим самим запускаючи встановлення шкідливого ПЗ.

Як «Mach-O Man» реалізує витік даних?

Згідно з технічним аналізом Mauro Eldritch, фінальний модуль macrasv2 збирає облікові дані браузера, Cookie та дані macOS Keychain, після чого пакує їх і витікає через Telegram Bot API; водночас зловмисники використовують скрипт самовидалення, щоб очистити системні сліди.