Noord-Koreaanse hackers richten zich op macOS met behulp van Flutter-Embedded Malware

Er zijn bedreigingsactoren aangetroffen die banden hebben met de Democratische Volksrepubliek Korea (ook wel Noord-Korea genoemd) die malware in Flutter-applicaties insluiten. Dit is de eerste keer dat deze tactiek door de tegenstander wordt toegepast om Apple macOS-apparaten te infecteren.

Jamf Threat Labs, dat de ontdekking deed op basis van artefacten die eerder deze maand naar het VirusTotal-platform waren geüpload, zei dat de door Flutter gebouwde applicaties deel uitmaken van een bredere activiteit die malware omvat die is geschreven in Golang en Python.

Het is momenteel niet bekend hoe deze monsters onder de slachtoffers worden verspreid en of deze tegen doelen zijn gebruikt, of dat de aanvallers overstappen op een nieuwe bezorgmethode. Dat gezegd hebbende, is het bekend dat Noord-Koreaanse dreigingsactoren zich bezighouden met uitgebreide social engineering-inspanningen gericht op werknemers van cryptocurrency en gedecentraliseerde financiële bedrijven.

“We vermoeden dat deze specifieke voorbeelden testen zijn”, vertelde Jaron Bradley, directeur van Jamf Threat Labs, aan The Hacker News. “Het is mogelijk dat ze nog niet zijn verspreid. Dat is moeilijk te zeggen. Maar ja. De social engineering-technieken van de aanvaller hebben in het verleden heel goed gewerkt en we vermoeden dat ze deze technieken zullen blijven gebruiken.”

Jamf heeft de kwaadwillige activiteit niet toegeschreven aan een specifieke aan Noord-Korea gelinkte hackgroep, hoewel het zei dat het waarschijnlijk het werk zou kunnen zijn van een Lazarus-subgroep die bekend staat als BlueNoroff. Dit verband komt voort uit infrastructuuroverlappingen met malware die KANDYKORN wordt genoemd en de Hidden Risk-campagne die onlangs door Sentinel One werd benadrukt.

Wat de nieuwe malware opvalt, is het gebruik van de toepassing van Flutter, een platformonafhankelijk applicatie-ontwikkelingsframework, om de primaire lading geschreven in Dart in te sluiten, terwijl het zich voordoet als een volledig functioneel Mijnenveger-spel. De app heet “Nieuwe updates in Crypto Exchange (28-08-2024).”

macOS-malware

Bovendien lijkt de game een kloon te zijn van een standaard Flutter-game voor iOS die openbaar beschikbaar is op GitHub. Het is de moeite waard erop te wijzen dat het gebruik van kunstaas met een gamethema ook is waargenomen in samenwerking met een andere Noord-Koreaanse hackgroep, gevolgd als Moonstone Sleet.

Deze apps zijn ook ondertekend en notarieel bekrachtigd met de Apple ontwikkelaars-ID’s BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) en FAIRBANKS CURLING CLUB INC. (6W69GC943U), wat erop wijst dat de bedreigingsactoren het notarisatieproces van Apple kunnen omzeilen. De handtekeningen zijn inmiddels door Apple ingetrokken.

Eenmaal gelanceerd, stuurt de malware een netwerkverzoek naar een externe server (“mbupdate.linkpc(.)net”) en wordt geconfigureerd om AppleScript-code uit te voeren die van de server wordt ontvangen, maar niet voordat deze achterstevoren is geschreven.

Jamf zei dat het ook varianten van de malware heeft geïdentificeerd die is geschreven in Go en Python, waarbij de laatste is gebouwd met Py2App. De apps – genaamd NewEra voor Stablecoins en DeFi, CeFi (Protected).app en Runner.app – zijn uitgerust met vergelijkbare mogelijkheden om elke AppleScript-payload uit te voeren die wordt ontvangen in de HTTP-reactie van de server.

De nieuwste ontwikkeling is een teken dat dreigingsactoren uit de DVK actief malware ontwikkelen met behulp van verschillende programmeertalen om cryptocurrency-bedrijven te infiltreren.

“Malware die de afgelopen jaren door de acteur is ontdekt, komt in veel verschillende varianten voor, met regelmatig bijgewerkte iteraties”, aldus Bradley. “We vermoeden dat dit in een poging onopgemerkt te blijven en ervoor te zorgen dat malware er bij elke release anders uitziet. In het geval van de Dart-taal vermoeden we dat dit komt omdat de acteurs ontdekten dat Flutter-applicaties voor grote onduidelijkheid zorgen vanwege hun app-architectuur zodra ze zijn gecompileerd.”

Thijs Van der Does