البرامج الضارة ObjCShellz
BlueNoroff، وهي مجموعة دولة لها علاقات مع كوريا الشمالية، مرتبطة الآن بسلالة البرامج الضارة لنظام التشغيل MacOS المعروفة باسم ObjCShellz، والتي لم تكن موثقة سابقًا. يعد هذا التهديد لاعبًا مهمًا في حملة البرامج الضارة RustBucket، والتي ظهرت لأول مرة في أوائل عام 2023.
من خلال دراسة أنشطة BlueNoroff السابقة، يعتقد الباحثون أن ObjCShellz يعمل كمكون متأخر في نظام برمجيات خبيثة متعدد المراحل يتم تقديمه من خلال تكتيكات الهندسة الاجتماعية. BlueNoroff، المعروف أيضًا بأسماء مستعارة مختلفة مثل APT38 وNickel Gladstone وSapphire Sleet وStardust Chollima وTA444، يعمل كمجموعة فرعية من مجموعة Lazarus Group سيئة السمعة. تستهدف مجموعة القرصنة هذه، المتخصصة في الجرائم المالية، البنوك وقطاع العملات المشفرة، بهدف تجاوز العقوبات وتحقيق أرباح غير مشروعة للنظام.
جدول المحتويات
لا تزال مجموعة Lazarus APT Group جهة فاعلة نشطة في مجال تهديد الجرائم الإلكترونية
يأتي اكتشاف ObjCShellz بعد فترة وجيزة من تقارير عن مجموعة Lazarus Group (التهديدات المستمرة المتقدمة) التي تستخدم برنامجًا ضارًا جديدًا لنظام التشغيل MacOS يُسمى KANDYKORN لاستهداف مهندسي blockchain. برنامج ضار آخر لنظام التشغيل MacOS مرتبط بممثل التهديد هذا هو RustBucket ، والذي يتميز بأنه باب خلفي قائم على AppleScript مصمم لجلب حمولة المرحلة الثانية من خادم يتحكم فيه المهاجم.
تتبع هذه الهجمات نمطًا يتم فيه إغراء الأهداف المحتملة بوعد المشورة الاستثمارية أو فرصة العمل. ومع ذلك، فإن القصد الحقيقي هو بدء عملية الإصابة من خلال استخدام مستند خادع.
تعد البرامج الضارة ObjCShellz بسيطة ولكنها فعالة
تم تسمية هذه البرامج الضارة باسم ObjCShellz نظرًا لأنه تم إنشاؤها في Objective-C، وهي تعمل بمثابة غلاف بعيد مباشر. يقوم بتنفيذ أوامر الصدفة الواردة من خادم المهاجم.
يفتقر الباحثون إلى معلومات محددة فيما يتعلق بالأهداف الرسمية لـ ObjCShellz. ومع ذلك، وبالنظر إلى الهجمات المرصودة في عام 2023 واسم النطاق الذي أنشأه المهاجمون، فمن المحتمل أن تكون البرامج الضارة قد تم استخدامها ضد شركة مرتبطة بصناعة العملات المشفرة أو مرتبطة بها بشكل وثيق.
ولا تزال الطريقة الدقيقة للوصول الأولي للهجوم غير معروفة في الوقت الحاضر. هناك شك في أن البرامج الضارة يتم تسليمها كحمولة بعد الاستغلال، مما يتيح التنفيذ اليدوي للأوامر على الجهاز المخترق. على الرغم من بساطته، أثبت ObjCShellz أنه فعال للغاية، حيث يخدم المهاجمين جيدًا في تحقيق أهدافهم.
باحثون يحذرون من تطور مجموعات القرصنة المرتبطة بكوريا الشمالية
يتزامن الكشف عن ObjCShellz مع تحول وإعادة هيكلة الجماعات التي ترعاها كوريا الشمالية مثل لازاروس. تتعاون هذه المجموعات بشكل متزايد لتبادل الأدوات والتكتيكات، مما يخلق مشهدًا غير واضح مع استمرارها في تصميم برامج ضارة مخصصة لكل من Linux وmacOS.
ويعتقد الخبراء أن الكيانات التي تنظم الحملات، مثل 3CX وJumpCloud، تشارك بنشاط في تطوير ومشاركة مجموعات الأدوات المتنوعة. يشير هذا التعاون إلى أن حملات البرامج الضارة الإضافية لنظام التشغيل MacOS والتي تتكون من أدوات ضارة محسنة وأكثر انسيابية قد تكون في الأفق.
