【安全资讯】拉扎鲁斯集团利用“RustyAttr”技术规避检测

概要：

网络安全领域再度警惕，北朝鲜黑客组织拉扎鲁斯集团（Lazarus Group）采用新技术“RustyAttr”，利用Unix系统的扩展文件属性（xattr）隐藏恶意代码，成功规避传统的检测工具。这一技术的出现，给网络安全防护带来了新的挑战。

主要内容：

拉扎鲁斯集团以其高超的网络间谍技术而闻名，最近又增加了一种隐蔽的攻击手段——利用Unix系统中的扩展文件属性（xattr）。安全研究员Tonmoy Jitu的分析表明，RustyAttr通过macOS的元数据隐藏恶意载荷，成功避开了传统的防病毒软件和检测工具。xattr命令通常用于存储文件的元数据，但攻击者可以利用这一点将恶意脚本嵌入文件中，而不改变文件的可见内容。

RustyAttr木马能够直接从扩展属性中获取和执行恶意脚本，绕过文件系统的常规监控工具。Jitu的研究揭示了该木马的感染链，恶意代码隐藏在与应用程序文件相关的元数据中，如.app包。通过在元数据中嵌入恶意shell命令，RustyAttr能够下载并执行额外的载荷。

此外，RustyAttr还利用泄露的证书实现持久性，直到证书被撤销。该木马的恶意基础设施与拉扎鲁斯集团密切相关，Jitu指出，使用的恶意域名与已知的威胁行为者基础设施相连。尽管RustyAttr的技术尚未被纳入MITRE ATT&CK框架，但其隐蔽性使得防御者面临新的挑战，攻击者能够长时间控制被攻陷的系统。