据BleepingComputer信息,朝鲜黑客正经常使用 Flutter 创立的木马记事本运行程序和扫雷游戏来攻打苹果 macOS 系统,这些运行程序具备非法的苹果开发人员 ID 签名和公证。
这些临时经过了苹果安保审核的运行触及窃取加密货币,与朝鲜黑客常年在金融偷盗方面的兴味分歧。依据发现该优惠的 Jamf Threat Labs 的说法,该优惠看起来更像是一场绕过 macOS 安保的试验,而不是一场成熟且高度针对性的操作。
从 2024 年 11 月开局,Jamf 在 VirusTotal 上发现了多个运行程序,这些运行程序对一切 AV 扫描仿佛齐全有害,但展现了“第一阶段”配置,衔接到与朝鲜行为者关系的主机。
这些运行程序均经常使用谷歌的 Flutter 框架为 macOS 构建,该框架使开发人员能够经常使用以 Dart 编程言语编写的单个代码库为不同的操作系统创立本地编译的运行程序。
Jamf钻研人员示意,攻打者在基于 Flutter 的运行程序中嵌入恶意软件并非闻所未闻,但却是第一次性看到攻打者经常使用它来攻打 macOS 设施。
因为嵌入在灵活库 (dylib) 中,该库由灵活库 (dylib) 在运转时加载,经常使用这种方法不只为恶意软件开发者提供了更多配置,而且还使恶意代码更难检测。
Flutter 运行程序规划
在进一步剖析其中一款名为 New Updates in Crypto Exchange (2024-08-28)的运行程序时,Jamf 发现 dylib 中的混杂代码允许 AppleScript 口头,使其能够口头从命令和控制 (C2) 主机发送的脚本。该运行程序关上了一个实用于 macOS 的扫雷游戏,其代码可在 GitHub 上收费取得。
Jamf 发现的 6 个恶意运行程序中有 5 个具备用非法的开发人员 ID 签名,并且恶意软件已经过公证,这象征着这些运行程序被苹果的智能化系统扫描并被以为安保。
经过安保签名、带有木马的扫雷游戏
Jamf 还发现了两款基于 Golang 和 Python 变体的运行,两者都向一个已知的与朝鲜无关联的域 "mbupdate.linkpc[.]net "收回网络恳求,并具备脚本口头配置。
目前苹果曾经撤销了 Jamf 发现的运行程序签名,因此这些运行假设加载到最新的 macOS 系统上将不可绕过 Gaeeper 进攻。
但是,目前尚不分明这些运行程序能否曾经用于实践操作,或许仅用于“在朝”测试中,以评价绕过安保软件的技术。