ObjCShellz Malware
BlueNoroff, národní státní skupina s vazbami na Severní Koreu, je nyní spojena s kmenem malwaru macOS známým jako ObjCShellz, který byl dříve nezdokumentovaný. Tato hrozba je kritickým hráčem v malwarové kampani RustBucket, která se poprvé objevila na začátku roku 2023.
Při zkoumání minulých aktivit BlueNoroff se výzkumníci domnívají, že ObjCShellz funguje jako komponenta v pozdní fázi ve vícestupňovém malwarovém systému dodávaném prostřednictvím taktiky sociálního inženýrství. BlueNoroff, také známý pod různými aliasy jako APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima a TA444, působí jako podmnožina nechvalně známé skupiny Lazarus Group . Tato hackerská skupina, která se specializuje na finanční zločiny, se zaměřuje na banky a krypto sektor s cílem obejít sankce a vytvářet nezákonné zisky pro režim.
Obsah
Skupina Lazarus APT zůstává aktivním aktérem kybernetické kriminality
Objev ObjCShellz přichází krátce poté, co se objevily zprávy o APT (Advanced Persistent Threat) Lazarus Group, která používá nový malware pro macOS s názvem KANDYKORN k cílení na blockchainové inženýry. Dalším malwarem macOS spojeným s tímto aktérem hrozeb je RustBucket , charakterizovaný jako zadní vrátka na bázi AppleScript navržená k načtení druhé fáze dat ze serveru ovládaného útočníkem.
Tyto útoky sledují vzorec, kdy jsou potenciální cíle lákány příslibem investičního poradenství nebo pracovní příležitosti. Skutečným záměrem je však zahájit proces infekce pomocí návnadového dokumentu.
Malware ObjCShellz je jednoduchý, ale účinný
Tento malware pojmenovaný ObjCShellz, protože byl vytvořen v Objective-C, slouží jako přímý vzdálený shell. Provádí příkazy shellu přijaté ze serveru útočníka.
Výzkumníci postrádají konkrétní informace týkající se oficiálních cílů ObjCShellz. S ohledem na pozorované útoky v roce 2023 a název domény vytvořené útočníky je však pravděpodobné, že malware byl použit proti společnosti spojené s kryptoměnovým průmyslem nebo s ním úzce propojené.
Přesná metoda počátečního přístupu k útoku zůstává v současnosti neznámá. Existuje podezření, že malware je dodán jako náklad po zneužití, který umožňuje ruční provádění příkazů na napadeném počítači. Navzdory své jednoduchosti se ObjCShellz ukazuje jako vysoce funkční a dobře slouží útočníkům při dosahování jejich cílů.
Výzkumníci varují, že skupiny hackerů souvisejících se Severní Koreou se vyvíjejí
Odhalení týkající se ObjCShellz se shoduje s transformací a restrukturalizací skupin sponzorovaných Severní Koreou, jako je Lazarus. Tyto skupiny stále více spolupracují na výměně nástrojů a taktik, čímž vytvářejí rozmazanou krajinu, protože přetrvávají ve vytváření přizpůsobeného malwaru pro Linux i macOS.
Odborníci se domnívají, že subjekty organizující kampaně, jako jsou 3CX a JumpCloud, se aktivně podílejí na vývoji a sdílení různých sad nástrojů. Tato spolupráce naznačuje, že na obzoru by mohly být další malwarové kampaně pro macOS sestávající z vylepšených a efektivnějších malwarových nástrojů.
