Κακόβουλο λογισμικό ObjCSshellz
Το BlueNoroff, μια ομάδα έθνους-κράτους με δεσμούς με τη Βόρεια Κορέα, συνδέεται τώρα με ένα στέλεχος κακόβουλου λογισμικού macOS γνωστό ως ObjCSshellz, το οποίο προηγουμένως δεν ήταν τεκμηριωμένο. Αυτή η απειλή είναι ένας κρίσιμος παράγοντας στην καμπάνια κακόβουλου λογισμικού RustBucket, η οποία πρωτοεμφανίστηκε στις αρχές του 2023.
Εξετάζοντας τις προηγούμενες δραστηριότητες του BlueNoroff, οι ερευνητές πιστεύουν ότι το ObjCSshellz λειτουργεί ως στοιχείο τελευταίου σταδίου σε ένα σύστημα κακόβουλου λογισμικού πολλαπλών σταδίων που παρέχεται μέσω τακτικών κοινωνικής μηχανικής. Το BlueNoroff, γνωστό και με διάφορα ψευδώνυμα όπως APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima και TA444, λειτουργεί ως υποσύνολο του διαβόητου Ομίλου Lazarus . Ειδικευμένη στα οικονομικά εγκλήματα, αυτή η ομάδα χάκερ στοχεύει τράπεζες και τον τομέα των κρυπτονομισμάτων, με στόχο να παρακάμψει τις κυρώσεις και να δημιουργήσει παράνομα κέρδη για το καθεστώς.
Πίνακας περιεχομένων
Η ομάδα Lazarus APT παραμένει ενεργός ηθοποιός απειλών για το έγκλημα στον κυβερνοχώρο
Η ανακάλυψη του ObjCSshellz έρχεται λίγο μετά τις αναφορές του APT (Advanced Persistent Threat) Lazarus Group που χρησιμοποιεί ένα νέο κακόβουλο λογισμικό macOS που ονομάζεται KANDYKORN για να στοχεύει μηχανικούς blockchain. Ένα άλλο κακόβουλο λογισμικό macOS που σχετίζεται με αυτόν τον παράγοντα απειλής είναι το RustBucket , που χαρακτηρίζεται ως backdoor που βασίζεται σε AppleScript που έχει σχεδιαστεί για να λαμβάνει ένα ωφέλιμο φορτίο δεύτερου σταδίου από έναν διακομιστή που ελέγχεται από τον εισβολέα.
Αυτές οι επιθέσεις ακολουθούν ένα μοτίβο όπου οι πιθανοί στόχοι δελεάζονται με την υπόσχεση επενδυτικών συμβουλών ή μιας ευκαιρίας εργασίας. Ωστόσο, η πραγματική πρόθεση είναι να ξεκινήσει η διαδικασία μόλυνσης μέσω της χρήσης ενός εγγράφου δόλωμα.
Το κακόβουλο λογισμικό ObjCSshellz είναι απλό αλλά αποτελεσματικό
Ονομάστηκε ObjCSshellz λόγω της δημιουργίας του στο Objective-C, αυτό το κακόβουλο λογισμικό χρησιμεύει ως ένα απλό απομακρυσμένο κέλυφος. Εκτελεί εντολές φλοιού που λαμβάνονται από τον διακομιστή του εισβολέα.
Οι ερευνητές δεν έχουν συγκεκριμένες πληροφορίες σχετικά με τους επίσημους στόχους του ObjCSshellz. Ωστόσο, λαμβάνοντας υπόψη τις επιθέσεις που παρατηρήθηκαν το 2023 και το όνομα τομέα που δημιουργήθηκε από τους εισβολείς, είναι πιθανό το κακόβουλο λογισμικό να χρησιμοποιήθηκε εναντίον μιας εταιρείας που σχετίζεται με τη βιομηχανία κρυπτονομισμάτων ή είναι στενά συνδεδεμένη με αυτήν.
Η ακριβής μέθοδος αρχικής πρόσβασης για την επίθεση παραμένει άγνωστη προς το παρόν. Υπάρχει υποψία ότι το κακόβουλο λογισμικό παραδίδεται ως ωφέλιμο φορτίο μετά την εκμετάλλευση, επιτρέποντας τη μη αυτόματη εκτέλεση εντολών στο παραβιασμένο μηχάνημα. Παρά την απλότητά του, το ObjCSshellz αποδεικνύεται εξαιρετικά λειτουργικό, εξυπηρετώντας καλά τους επιτιθέμενους στην επίτευξη των στόχων τους.
Οι ερευνητές προειδοποιούν ότι οι ομάδες χάκερ που σχετίζονται με τη Βόρεια Κορέα εξελίσσονται
Η αποκάλυψη σχετικά με το ObjCSshellz συμπίπτει με τον μετασχηματισμό και την αναδιάρθρωση ομάδων που υποστηρίζονται από τη Βόρεια Κορέα, όπως ο Lazarus. Αυτές οι ομάδες συνεργάζονται ολοένα και περισσότερο για την ανταλλαγή εργαλείων και τακτικών, δημιουργώντας ένα θολό τοπίο καθώς επιμένουν να δημιουργούν προσαρμοσμένο κακόβουλο λογισμικό τόσο για Linux όσο και για macOS.
Οι ειδικοί πιστεύουν ότι οι οντότητες που ενορχηστρώνουν καμπάνιες, όπως το 3CX και το JumpCloud, συμμετέχουν ενεργά στην ανάπτυξη και την κοινή χρήση διαφορετικών συνόλων εργαλείων. Αυτή η συνεργασία υποδηλώνει ότι πρόσθετες καμπάνιες κακόβουλου λογισμικού macOS που αποτελούνται από βελτιωμένα και πιο βελτιωμένα εργαλεία κακόβουλου λογισμικού θα μπορούσαν να είναι στον ορίζοντα.
