APT38 jagter Mac med SharkRAT
Men han sagde at Mac ikke kan få virus :-)
Der pågår i øjeblikket spear phishing angreb fra APT38 hvor målet er at lokke modtagere af en særligt målrettet e-mail til at åbne og køre en vedhæftet fil som dropper SharkRAT til maskinen.
SharkRAT er en krydsplatform Remote Administration Tool (RAT) som er udviklet i GO, og som kan køre på Windows, Mac og Linux. Den har været frit tilgængelig siden 2022 og kan downloades direkte fra GitHub:
https://github.com/XZB-1248/Spark
APT38 er en Nordkoreansk statssponsoreret trusselsaktør hvor målet er spionage af udvalgte mål samt tyveri af kryptovaluta.
De skadelige e-mail, som dropper den skadelige kode ankommer med et vedhæftet ZIP arkiv der indeholder en chm fil. Hvis denne fil åbnes og køres af en uforsigtig bruger så hentes og køres SharkRAT fra (saniteret)
https://gholoerkolw[.]fun/dev/ticker/client.bin
Eksekvering af koden på den lokale maskine sker ved at spawne følgende kommando:
sh -c "sudo /bin/zsh -c \"/Users/run/5802d266c6fd8f45323b7d86d670059f1bd98de42a173fbc2ac66399b9783713.macho\
Denne MacOSX variant indeholder GO buildID:
W5DM63x4h1oHb7KtyRAD/iDZRpqm9OvW1WChJHnRn/_TDFj_YBrtvavUsAgZXg/YDlmriV8Mb1-_Rq4W8p3
Den vil efter kørsel forbinde sig til en C&C server på (saniteret)
https://37.230.62[.]73:8000/ws
Den pågældende IP er hjemhørende på en privat adresse i England. Der er formentlig tale om en kompromitteret server/maskine som misbruges til formålet.
Den pågældende C&C server er langt fra ukendt og har været anvendt i andre og lignende angreb. Den er også vært for en Metasploit installation som er blevet misbrugt til at kompromitterede ikke opdaterede servere i flere lande.
Serveren har en længere historik og kan knyttes til følgende skadelige domæner som er blevet brugt til at fjernekontrollere MacOSX maskiner med SharkRAT (saniteret)
apple[.]news
apple-cloudkit[.]com
apple-dns[.]net
Se diagram:
Mac får da ikke virus
Også den pågældende download server, hvorfra SharkRAT distribueres, har en broget historik og kan knyttes til flere andre kampagner der har kørt i løbet af 2024 (saniteret)
gjioierasdnvjdfheaxvkde[.]shop
gjioedflkvdfesvd[.]shop
gholoerkolw[.]fun
Denne kampagne viser at malware og APT grupper også har blik for MacOSX.
Antivirus detektion er lav.