بدافزار ObjCSshellz

BlueNoroff، یک گروه ملی-دولتی که با کره شمالی ارتباط دارد، اکنون با یک نوع بدافزار macOS به نام ObjCshellz مرتبط است که قبلاً فاقد سند بود. این تهدید یک بازیکن مهم در کمپین بدافزار RustBucket است که برای اولین بار در اوایل سال 2023 ظاهر شد.

با بررسی فعالیت‌های گذشته BlueNoroff، محققان بر این باورند که ObjCSshellz به عنوان یک مؤلفه در مرحله آخر در یک سیستم بدافزار چند مرحله‌ای که از طریق تاکتیک‌های مهندسی اجتماعی ارائه می‌شود، عمل می‌کند. BlueNoroff که با نام‌های مستعار مختلفی مانند APT38، Nickel Gladstone، Sapphire Sleet، Stardust Chollima و TA444 نیز شناخته می‌شود، به عنوان زیرمجموعه‌ای از گروه بدنام Lazarus عمل می‌کند. این گروه هکر که متخصص در جرایم مالی است، بانک‌ها و بخش کریپتو را هدف قرار می‌دهد و هدف آن دور زدن تحریم‌ها و ایجاد سودهای غیرقانونی برای رژیم است.

گروه Lazarus APT همچنان یک بازیگر فعال تهدید جرایم سایبری است

کشف ObjCSshellz مدت کوتاهی پس از گزارش‌هایی مبنی بر استفاده از یک بدافزار جدید macOS به نام KANDYKORN توسط گروه APT (تهدید دائمی پیشرفته) Lazarus برای هدف قرار دادن مهندسان بلاک چین صورت گرفت. یکی دیگر از بدافزارهای macOS مرتبط با این عامل تهدید، RustBucket است که به عنوان یک درپشتی مبتنی بر AppleScript شناخته می شود که برای دریافت بار مرحله دوم از سروری که توسط مهاجم کنترل می شود، طراحی شده است.

این حملات از الگویی پیروی می کنند که در آن اهداف بالقوه با وعده مشاوره سرمایه گذاری یا فرصت شغلی فریفته می شوند. با این حال، هدف واقعی شروع فرآیند عفونت از طریق استفاده از یک سند فریب است.

بدافزار ObjCSshellz ساده و در عین حال موثر است

این بدافزار با نام ObjCSshellz به دلیل ایجاد در Objective-C، به عنوان یک پوسته راه دور ساده عمل می کند. دستورات شل دریافتی از سرور مهاجم را اجرا می کند.

محققان اطلاعات خاصی در مورد اهداف رسمی ObjCSshellz ندارند. با این حال، با توجه به حملات مشاهده شده در سال 2023 و نام دامنه ایجاد شده توسط مهاجمان، این احتمال وجود دارد که این بدافزار علیه یک شرکت مرتبط با صنعت ارزهای دیجیتال یا ارتباط نزدیک با آن به کار گرفته شده باشد.

روش دقیق دسترسی اولیه برای حمله در حال حاضر ناشناخته است. این ظن وجود دارد که بدافزار به عنوان یک محموله پس از بهره برداری تحویل داده می شود و امکان اجرای دستی دستورات را در دستگاه در معرض خطر فراهم می کند. با وجود سادگی، ObjCSshellz ثابت می کند که بسیار کاربردی است و به مهاجمان در دستیابی به اهداف خود به خوبی خدمت می کند.

محققان هشدار می دهند که گروه های هکر مرتبط با کره شمالی در حال تکامل هستند

افشاگری در مورد ObjCSshellz همزمان با تحول و بازسازی گروه‌های تحت حمایت کره شمالی مانند لازاروس است. این گروه‌ها به‌طور فزاینده‌ای برای تبادل ابزارها و تاکتیک‌ها با یکدیگر همکاری می‌کنند و با ادامه تولید بدافزارهای سفارشی‌شده برای Linux و macOS، منظره‌ای مبهم ایجاد می‌کنند.

کارشناسان بر این باورند که نهادهایی که کمپین‌ها را تنظیم می‌کنند، مانند 3CX و JumpCloud، فعالانه در توسعه و به اشتراک گذاری مجموعه‌های ابزار متنوع شرکت دارند. این همکاری نشان می‌دهد که کمپین‌های اضافی بدافزار macOS شامل ابزارهای بدافزار بهبودیافته و کارآمدتر می‌تواند در افق باشد.