ObjCShellz pahavara
BlueNoroff, Põhja-Koreaga seotud rahvusriiklik rühmitus, on nüüd seotud MacOS-i pahavaratüvega, mida tuntakse ObjCShellzi nime all, mis varem oli dokumentideta. See oht on 2023. aasta alguses esmakordselt esile kerkinud RustBucketi pahavarakampaanias kriitiline mängija.
Uurides BlueNoroffi varasemaid tegevusi, usuvad teadlased, et ObjCShellz toimib mitmeastmelise pahavarasüsteemi hilise faasi komponendina, mida tarnitakse sotsiaalse inseneri taktika abil. BlueNoroff, mida tuntakse ka erinevate varjunimedega, nagu APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ja TA444, tegutseb kurikuulsa Lazarus Groupi alamrühmana. See finantskuritegudele spetsialiseerunud häkkerite rühmitus on suunatud pankadele ja krüptosektorile, püüdes sanktsioonidest mööda hiilida ja teenida režiimile ebaseaduslikku kasumit.
Sisukord
Lazaruse APT rühmitus on endiselt aktiivne küberkuritegevuse ähvardaja
ObjCShellzi avastus tehti varsti pärast teateid APT (Advanced Persistent Threat) Lazarus Groupi kohta, mis kasutab plokiahela inseneride sihtimiseks värsket macOS-i pahavara nimega KANDYKORN . Teine selle ohuteguriga seotud MacOS-i pahavara on RustBucket , mida iseloomustatakse AppleScripti-põhise tagauksena, mis on loodud ründaja juhitavast serverist teise astme kasuliku koormuse toomiseks.
Need rünnakud järgivad mustrit, kus potentsiaalseid sihtmärke meelitatakse investeerimisnõustamise või töövõimalusega. Tõeline kavatsus on aga nakatumisprotsess algatada peibutusdokumendi abil.
ObjCShellzi pahavara on lihtne, kuid tõhus
ObjCShellzi nimega, kuna see loodi Objective-C-s, toimib see pahavara lihtsa kaugkestana. See täidab ründaja serverist saadud shellikäske.
Teadlastel puudub spetsiifiline teave ObjCShellzi ametlike sihtmärkide kohta. Arvestades aga 2023. aastal täheldatud rünnakuid ja ründajate loodud domeeninime, on tõenäoline, et pahavara kasutati krüptorahatööstusega seotud või sellega tihedalt seotud ettevõtte vastu.
Rünnaku esialgse juurdepääsu täpne viis on praegu teadmata. Kahtlustatakse, et pahavara tarnitakse ärakasutamisjärgse kasuliku koormana, mis võimaldab rikutud masinal käske käsitsi täita. Vaatamata oma lihtsusele osutub ObjCShellz väga funktsionaalseks, teenides ründajaid nende eesmärkide saavutamisel.
Teadlased hoiatavad, et Põhja-Koreaga seotud häkkerirühmad arenevad
ObjCShellzi puudutav ilmutus langeb kokku Põhja-Korea toetatud rühmituste, nagu Lazarus, ümberkujundamise ja ümberkorraldamisega. Need rühmad teevad üha enam koostööd, et vahetada tööriistu ja taktikaid, luues häguse maastiku, kuna nad jätkavad kohandatud pahavara loomist nii Linuxi kui ka MacOS-i jaoks.
Eksperdid usuvad, et kampaaniaid korraldavad üksused, nagu 3CX ja JumpCloud, osalevad aktiivselt erinevate tööriistakomplektide väljatöötamises ja jagamises. See koostöö viitab sellele, et silmapiiril võivad olla täiendavad MacOS-i pahavarakampaaniad, mis koosnevad täiustatud ja sujuvamatest pahavaratööriistadest.
