北韩的拉撒路组织被观察到在野外测试新的 macOS 特洛伊木马 媒体
北韩黑客组织Lazarus的新威胁
关键要点
Lazarus正试图通过新型macOS木马“RustyAttr”利用自定义扩展文件属性来潜伏代码。目前已知样本非常有限,并未确认是否有受害者,但这种潜藏代码的方法可能会在未来攻击中被采用。扩展文件属性是与文件和目录关联的元数据,可用于储存额外信息,使安全工具难以检测到恶意代码。专家建议加强对文件属性的监控和更新安全检测算法。最近,北韩黑客组织Lazarus被观察到一种新的行为,他们试图通过一种名为“RustyAttr”的macOS木马利用自定义扩展文件属性来潜藏代码。
在11月13日的部落格文章中,GroupIB的研究人员表示,他们在实际环境中仅发现了一些这种木马的样本,尚不能确认是否有受害者,这可能表明Lazarus正在测试隐藏macOS文件中代码的新方法。
研究人员预测,这种工具在经过进一步加固,例如代码签名、注册、混淆和使用更不明显的自定义属性名称后,可能会在未来攻击中使用。RustyAttr是基于Tauri框架构建的,该框架允许开发者使用网页技术开发轻量级桌面应用程序,这些应用会获取并执行位于扩展属性中的恶意脚本。
根据GroupIB的说法,扩展文件属性是可以与各种文件系统中的文件和目录关联的元数据。这些属性能够让用户储存超出标准属性如文件大小、时间戳和权限的附加信息。
黑客利用这些macOS扩展文件属性将恶意代码隐藏在自定义元数据中,这使得安全工具难以检测到。Sectigo的高级研究员Jason Soroko解释道,这种方法的真正危险在于其隐蔽性,因为传统的杀毒软件可能无法识别此威胁。
魔戒vnp加速器“这让攻击者能够悄无声息地渗透系统并执行恶意有效载荷,”Soroko表示。“安全团队应当实施监控技术,以仔细检查文件属性,定期更新威胁检测算法,并提升对使用Tauri框架等非常规恶意软件传递方法的意识。”
Salt Security的网络安全策略总监Eric Schwake表示,这种新的恶意软件传递技术提醒我们,攻击者不断进化其方法,以绕过传统安全措施。Schwake指出,这种威胁行为者通过隐藏恶意代码在自定义文件元数据中并利用诱饵文件来逃避检测。
“安全团队必须保持警觉,采取主动的防御策略来应对这些威胁,”Schwake强调。“这包括实施先进的威胁检测解决方案,能够分析文件元数据并识别异常,定期更新安全工具和政策,并教育用户了解打开可疑文件或点击未知链接的风险。”