ObjCShellz Haittaohjelma
BlueNoroff, kansallisvaltioryhmä, jolla on siteitä Pohjois-Koreaan, liitetään nyt macOS-haittaohjelmakantaan, joka tunnetaan nimellä ObjCShellz, joka oli aiemmin dokumentoimaton. Tämä uhka on kriittinen toimija RustBucket-haittaohjelmakampanjassa, joka ilmestyi ensimmäisen kerran vuoden 2023 alussa.
BlueNoroffin aiempia toimintoja tarkasteltaessa tutkijat uskovat, että ObjCShellz toimii myöhäisen vaiheen komponenttina monivaiheisessa haittaohjelmajärjestelmässä, joka toimitetaan sosiaalisen manipuloinnin keinoin. BlueNoroff, joka tunnetaan myös useilla aliaksilla, kuten APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ja TA444, toimii surullisen kuuluisan Lazarus Groupin osana. Tämä talousrikoksiin erikoistunut hakkeriryhmä tavoittelee pankkeja ja kryptosektoria pyrkien kiertämään pakotteet ja tuottamaan laittomia voittoja hallitukselle.
Sisällysluettelo
Lazarus APT -ryhmä on edelleen aktiivinen verkkorikollisuuden uhkatoimija
ObjCShellzin löytö tulee pian sen jälkeen, kun APT (Advanced Persistent Threat) Lazarus Group on raportoinut, että se käyttää tuoretta macOS-haittaohjelmaa nimeltä KANDYKORN kohdistaakseen lohkoketjuinsinöörejä. Toinen tähän uhkatekijään liittyvä macOS-haittaohjelma on RustBucket , jota luonnehditaan AppleScript-pohjaiseksi takaoveksi, joka on suunniteltu hakemaan toisen vaiheen hyötykuorma hyökkääjän hallitsemalta palvelimelta.
Nämä hyökkäykset noudattavat kaavaa, jossa mahdollisia kohteita houkutellaan lupauksella sijoitusneuvoista tai työmahdollisuuksista. Todellinen tarkoitus on kuitenkin käynnistää tartuntaprosessi käyttämällä houkutusasiakirjaa.
ObjCShellz-haittaohjelma on yksinkertainen mutta tehokas
ObjCShellz, koska se on luotu Objective-C:ssä, tämä haittaohjelma toimii suoraviivaisena etäkuorena. Se suorittaa hyökkääjän palvelimelta saatuja komentotulkkikomentoja.
Tutkijoilta puuttuu tarkkoja tietoja ObjCShellzin virallisista kohteista. Vuonna 2023 havaitut hyökkäykset ja hyökkääjien luoma verkkotunnus huomioon ottaen on kuitenkin todennäköistä, että haittaohjelma on työskennellyt kryptovaluuttateollisuuteen liittyvää tai siihen läheisesti liittyvää yritystä vastaan.
Tarkkaa tapaa päästä hyökkäykseen alkuvaiheessa ei vielä tiedetä. Epäillään, että haittaohjelma toimitetaan hyväksikäytön jälkeisenä hyötykuormana, mikä mahdollistaa komentojen manuaalisen suorittamisen vaarantuneella koneella. Yksinkertaisuudestaan huolimatta ObjCShellz osoittautuu erittäin toimivaksi ja palvelee hyökkääjiä hyvin tavoitteidensa saavuttamisessa.
Tutkijat varoittavat, että Pohjois-Koreaan liittyvät hakkeriryhmät ovat kehittymässä
ObjCShellziä koskeva paljastus osuu samaan aikaan Lazaruksen kaltaisten Pohjois-Korean tukemien ryhmien muutoksen ja uudelleenjärjestelyn kanssa. Nämä ryhmät tekevät yhä useammin yhteistyötä vaihtaakseen työkaluja ja taktiikoita, mikä luo hämärän maiseman, kun he jatkuvasti luovat räätälöityjä haittaohjelmia sekä Linuxille että macOS:lle.
Asiantuntijat uskovat, että kampanjoita järjestävät kokonaisuudet, kuten 3CX ja JumpCloud, ovat aktiivisesti mukana erilaisten työkalusarjojen kehittämisessä ja jakamisessa. Tämä yhteistyö viittaa siihen, että uusia macOS-haittaohjelmakampanjoita, jotka koostuvat parannetuista ja virtaviivaisemmista haittaohjelmatyökaluista, saattaa olla näköpiirissä.
