ObjCShellz Malware
BlueNoroff, en nationalstatsgruppe med bånd til Nordkorea, er nu forbundet med en macOS malware-stamme kendt som ObjCShellz, som tidligere var udokumenteret. Denne trussel er en kritisk spiller i RustBucket malware-kampagnen, som først dukkede op i begyndelsen af 2023.
Ved at undersøge BlueNoroffs tidligere aktiviteter, mener forskerne, at ObjCShellz fungerer som en sen-fase komponent i et multi-stage malware system leveret gennem social engineering taktik. BlueNoroff, også kendt under forskellige aliaser såsom APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima og TA444, fungerer som en undergruppe af den berygtede Lazarus Group . Denne hackergruppe, som er specialiseret i økonomisk kriminalitet, retter sig mod banker og kryptosektoren med det formål at omgå sanktioner og generere ulovlig profit til regimet.
Indholdsfortegnelse
Lazarus APT Group forbliver en aktiv aktør i trussel mod cyberkriminalitet
ObjCShellz-opdagelsen kommer kort efter rapporter om APT (Advanced Persistent Threat) Lazarus Group, der anvender en ny macOS-malware ved navn KANDYKORN til at målrette mod blockchain-ingeniører. En anden macOS-malware forbundet med denne trusselsaktør er RustBucket , karakteriseret som en AppleScript-baseret bagdør designet til at hente en anden trins nyttelast fra en server, der kontrolleres af angriberen.
Disse angreb følger et mønster, hvor potentielle mål lokkes med løfte om investeringsrådgivning eller en jobmulighed. Men den sande hensigt er at starte infektionsprocessen ved at bruge et lokkedokument.
ObjCShellz-malwaren er enkel og alligevel effektiv
Denne malware, som hedder ObjCShellz, fordi den er oprettet i Objective-C, fungerer som en simpel fjernskal. Den udfører shell-kommandoer modtaget fra angriberens server.
Forskerne mangler specifik information om de officielle mål for ObjCShellz. Men i betragtning af de observerede angreb i 2023 og domænenavnet skabt af angriberne, er det sandsynligt, at malwaren blev ansat mod en virksomhed, der er tilknyttet kryptovalutaindustrien eller er tæt forbundet med den.
Den præcise metode til indledende adgang til angrebet er stadig ukendt på nuværende tidspunkt. Der er mistanke om, at malwaren leveres som en nyttelast efter udnyttelse, hvilket muliggør manuel udførelse af kommandoer på den kompromitterede maskine. Trods sin enkelhed viser ObjCShellz sig at være yderst funktionel, hvilket tjener angriberne godt i at nå deres mål.
Forskere advarer om, at Nordkorea-relaterede hackergrupper er under udvikling
Afsløringen vedrørende ObjCShellz falder sammen med transformationen og omstruktureringen af Nordkorea-sponsorerede grupper som Lazarus. Disse grupper samarbejder i stigende grad om at udveksle værktøjer og taktikker, hvilket skaber et sløret landskab, mens de fortsætter med at lave tilpasset malware til både Linux og macOS.
Eksperter mener, at de enheder, der orkestrerer kampagner, såsom 3CX og JumpCloud, er aktivt involveret i udvikling og deling af forskellige værktøjssæt. Dette samarbejde antyder, at yderligere macOS malware-kampagner bestående af forbedrede og mere strømlinede malware-værktøjer kan være i horisonten.
