朝鲜黑客以其大胆的网络攻击而闻名,他们的主要目的是窃取资金以资助朝鲜实现其目标并逃避经济制裁。Jamf 的研究人员在 macOS 上发现了一些鬼鬼祟祟的恶意软件,似乎与朝鲜黑客有关。他们在 VirusTotal(一个检查恶意软件文件的网站)上发现了这个恶意软件,但奇怪的是,它被列为 “干净的”。该恶意软件有三个版本:一个用 Go 编写,另一个用 Python 编写,第三个用 Flutter 编写。
Flutter 是谷歌的开源框架,以允许开发者通过 Dart 语言的单一代码库为 iOS、Android 等平台构建应用程序而闻名。Flutter 因其跨平台的便捷性而广受欢迎,但它的设计也使其成为攻击者梦寐以求的工具,因为它的代码结构使分析变得非常棘手。这意味着黑客可以更容易地潜入恶意代码,而不会立即引起注意。
在本案例中,恶意软件假装是一个直接从 GitHub 克隆的简单扫雷游戏,恶意有效载荷隐藏在一个 dylib 文件中。这些隐藏代码试图连接到位于 mbupdate[.]linkpc[.]net 的命令与控制 (C2) 服务器,该域与以前的朝鲜恶意软件有链接。幸运的是,当 Jamf 发现该服务器时,它并没有活动,只给出了 “404 Not Found”(未找到)的错误信息,因此攻击并没有完全展开。不过,这个恶意软件很狡猾,最初通过了苹果公司的安全认证,这意味着 macOS 安全系统认为它是安全的。
这里有一个特别有趣的技巧:恶意软件被设置为执行服务器发送的 AppleScript 命令,甚至反向运行以避免被发现。在 Jamf 的测试中,他们证实恶意软件可以远程运行 C2 服务器发送的任何 AppleScript 命令,如果攻击是实时的,黑客就可以完全控制。
目前看来,这可能只是一次试运行。Jamf 怀疑这些黑客正在试验如何让恶意软件躲过苹果的防御。Flutter 本身并无恶意,但它的设计有助于隐藏代码细节。这提醒我们,攻击者正在变得越来越聪明,他们用新的方式使用普通的开发者工具来掩盖他们的意图。
![[WIN] AIMP 5.40 Build 2640 Beta 3](https://www.pcsofter.com/wp-content/uploads/2024/09/2024091211424647.webp)
![[WIN] Paint.NET v5.1 正式便携版](https://www.pcsofter.com/wp-content/uploads/2022/11/2023011609114312.jpg)
![[WIN] PDF-XChange Editor v10.4.4.392 便携版](https://www.pcsofter.com/wp-content/uploads/2024/11/2024111411160464.webp)
