Programari maliciós ObjCShellz
BlueNoroff, un grup d'estat-nació amb vincles amb Corea del Nord, ara està associat amb una soca de programari maliciós de macOS coneguda com ObjCShellz, que abans no estava documentada. Aquesta amenaça és un jugador crític a la campanya de programari maliciós RustBucket, que va sorgir per primera vegada a principis del 2023.
Examinant les activitats passades de BlueNoroff, els investigadors creuen que ObjCShellz funciona com un component d'etapa tardana en un sistema de programari maliciós de diverses etapes lliurat mitjançant tàctiques d'enginyeria social. BlueNoroff, també conegut per diversos àlies com ara APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima i TA444, opera com un subconjunt de l'infame Lazarus Group . Especialitzat en delictes financers, aquest grup de pirates informàtics s'adreça als bancs i al sector criptogràfic, amb l'objectiu d'evitar les sancions i generar beneficis il·legals per al règim.
Taula de continguts
El grup Lazarus APT continua sent un actor actiu d’amenaça de cibercrim
El descobriment d'ObjCShellz arriba poc després dels informes del grup Lazarus APT (Amenaça persistent avançada) que empra un programari maliciós macOS nou anomenat KANDYKORN per dirigir-se als enginyers de blockchain. Un altre programari maliciós de macOS associat amb aquest actor d'amenaces és RustBucket , caracteritzat per ser una porta posterior basada en AppleScript dissenyada per obtenir una càrrega útil de segona etapa d'un servidor controlat per l'atacant.
Aquests atacs segueixen un patró en què els objectius potencials són atrets amb la promesa d'assessorament sobre inversions o una oportunitat laboral. No obstant això, la veritable intenció és iniciar el procés d'infecció mitjançant l'ús d'un document seductor.
El programari maliciós ObjCShellz és senzill però eficaç
Anomenat ObjCShellz perquè s'ha creat a Objective-C, aquest programari maliciós serveix com a shell remot senzill. Executa ordres de shell rebudes del servidor de l'atacant.
Els investigadors no tenen informació específica sobre els objectius oficials d'ObjCShellz. No obstant això, tenint en compte els atacs observats el 2023 i el nom de domini creat pels atacants, és probable que el programari maliciós s'utilitzi contra una empresa associada a la indústria de la criptomoneda o estretament connectada amb ella.
De moment es desconeix el mètode precís d'accés inicial per a l'atac. Hi ha la sospita que el programari maliciós es lliura com a càrrega útil posterior a l'explotació, que permet l'execució manual d'ordres a la màquina compromesa. Malgrat la seva senzillesa, ObjCShellz demostra ser altament funcional i serveix als atacants per assolir els seus objectius.
Els investigadors adverteixen que els grups de pirates informàtics relacionats amb Corea del Nord estan evolucionant
La revelació sobre ObjCShellz coincideix amb la transformació i la reestructuració de grups patrocinats per Corea del Nord com Lazarus. Aquests grups col·laboren cada cop més per intercanviar eines i tàctiques, creant un paisatge borrós a mesura que persisteixen en l'elaboració de programari maliciós personalitzat tant per a Linux com per a macOS.
Els experts creuen que les entitats que orquestren campanyes, com ara 3CX i JumpCloud, participen activament en el desenvolupament i la compartició de diversos conjunts d'eines. Aquesta col·laboració suggereix que podrien estar a l'horitzó campanyes addicionals de programari maliciós de macOS consistents en eines de programari maliciós millorades i més simplificades.
