ObjCShellz Зловреден софтуер
BlueNoroff, национална държавна група с връзки със Северна Корея, сега е свързана с щам злонамерен софтуер за macOS, известен като ObjCShellz, който преди това беше недокументиран. Тази заплаха е критичен играч в кампанията за злонамерен софтуер RustBucket, която за първи път се появи в началото на 2023 г.
Проучвайки миналите дейности на BlueNoroff, изследователите вярват, че ObjCShellz функционира като компонент на късен етап в многоетапна система за зловреден софтуер, доставена чрез тактики за социално инженерство. BlueNoroff, известен също с различни псевдоними като APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima и TA444, работи като подгрупа на скандалната Lazarus Group . Специализирана във финансови престъпления, тази хакерска група е насочена към банките и крипто сектора, като цели да заобиколи санкциите и да генерира незаконни печалби за режима.
Съдържание
Групата Lazarus APT остава активен фактор за заплахи от киберпрестъпления
Откритието на ObjCShellz идва малко след съобщенията за APT (Advanced Persistent Threat) Lazarus Group, използваща нов зловреден софтуер за macOS, наречен KANDYKORN , за да се насочи към инженерите на блокчейн. Друг злонамерен софтуер за macOS, свързан с тази заплаха, е RustBucket , характеризиращ се като задна врата, базирана на AppleScript, предназначена да извлича полезен товар от втори етап от сървър, контролиран от нападателя.
Тези атаки следват модел, при който потенциалните цели са примамвани с обещание за инвестиционен съвет или възможност за работа. Истинското намерение обаче е да се инициира процесът на заразяване чрез използване на документ-примамка.
Зловреден софтуер ObjCShellz е прост, но ефективен
Наречен ObjCShellz, тъй като е създаден в Objective-C, този злонамерен софтуер служи като ясна отдалечена обвивка. Той изпълнява команди на обвивката, получени от сървъра на атакуващия.
Изследователите нямат конкретна информация относно официалните цели на ObjCShellz. Въпреки това, като се имат предвид наблюдаваните атаки през 2023 г. и името на домейна, създадено от нападателите, вероятно е злонамереният софтуер да е бил използван срещу компания, свързана с криптовалутната индустрия или тясно свързана с нея.
Точният метод за първоначален достъп за атаката остава неизвестен в момента. Има подозрение, че злонамереният софтуер се доставя като полезен товар след експлоатацията, което позволява ръчно изпълнение на команди на компрометираната машина. Въпреки своята простота, ObjCShellz се оказва много функционален, обслужвайки добре нападателите при постигане на техните цели.
Изследователи предупреждават, че свързаните със Северна Корея хакерски групи се развиват
Разкритието относно ObjCShellz съвпада с трансформацията и преструктурирането на спонсорирани от Северна Корея групи като Lazarus. Тези групи все повече си сътрудничат за обмен на инструменти и тактики, създавайки замъглен пейзаж, докато продължават да създават персонализиран злонамерен софтуер както за Linux, така и за macOS.
Експертите смятат, че субектите, организиращи кампании, като 3CX и JumpCloud, участват активно в разработването и споделянето на различни набори от инструменти. Това сътрудничество предполага, че на хоризонта може да има допълнителни кампании за злонамерен софтуер за macOS, състоящи се от подобрени и по-рационализирани инструменти за злонамерен софтуер.
