תוכנה זדונית של ObjCShellz
BlueNoroff, קבוצת מדינת לאום עם קשרים עם צפון קוריאה, קשורה כעת לזן תוכנות זדוניות של macOS הידוע בשם ObjCShellz, אשר לא היה מתועד בעבר. האיום הזה הוא שחקן קריטי במסע הפרסום של RustBucket תוכנות זדוניות, שהופיע לראשונה בתחילת 2023.
בבחינת פעילויות העבר של BlueNoroff, החוקרים מאמינים ש-ObjCShellz מתפקד כרכיב בשלב מאוחר במערכת תוכנה זדונית רב-שלבית המועברת באמצעות טקטיקות של הנדסה חברתית. BlueNoroff, הידועה גם בכינויים שונים כמו APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ו-TA444, פועלת כתת-קבוצה של קבוצת Lazarus הידועה לשמצה. המתמחה בפשעים פיננסיים, קבוצת האקרים זו מכוונת לבנקים ולמגזר הקריפטו, במטרה לעקוף סנקציות ולייצר רווחים בלתי חוקיים למשטר.
תוכן העניינים
קבוצת Lazarus APT נותרה שחקן פעיל באיום בפשעי סייבר
התגלית של ObjCShellz מגיעה זמן קצר לאחר דיווחים על קבוצת APT (Advanced Persistent Threat) Lazarus משתמשת בתוכנה זדונית חדשה של macOS בשם KANDYKORN כדי לכוון למהנדסי בלוקצ'יין. תוכנה זדונית נוספת של macOS הקשורה לשחקן האיום הזה היא RustBucket , המאופיינת כדלת אחורית מבוססת AppleScript שנועדה להביא מטען שלב שני משרת הנשלט על ידי התוקף.
התקפות אלו עוקבות אחר דפוס שבו מטרות פוטנציאליות מפתות בהבטחה לייעוץ השקעות או הזדמנות עבודה. עם זאת, הכוונה האמיתית היא ליזום את תהליך ההדבקה באמצעות שימוש במסמך הטעיה.
התוכנה הזדונית של ObjCShellz היא פשוטה אך יעילה
שמו של ObjCShellz בשל יצירתו ב-Objective-C, תוכנה זדונית זו משמשת כמעטפת מרוחקת פשוטה. הוא מבצע פקודות מעטפת שהתקבלו מהשרת של התוקף.
לחוקרים חסר מידע ספציפי לגבי המטרות הרשמיות של ObjCShellz. עם זאת, בהתחשב במתקפות שנצפו בשנת 2023 ובשם הדומיין שנוצרו על ידי התוקפים, סביר להניח שהתוכנה הזדונית הופעלה נגד חברה הקשורה לתעשיית מטבעות הקריפטו או קשורה אליה באופן הדוק.
שיטת הגישה הראשונית המדויקת למתקפה עדיין לא ידועה. קיים חשד שהתוכנה הזדונית מועברת כמטען לאחר ניצול, המאפשרת ביצוע ידני של פקודות במחשב שנפרץ. למרות הפשטות שלו, ObjCShellz מתגלה כפונקציונלי ביותר, ומשרת היטב את התוקפים בהשגת מטרותיהם.
חוקרים מזהירים כי קבוצות האקרים הקשורות לצפון קוריאה מתפתחות
הגילוי לגבי ObjCShellz עולה בקנה אחד עם השינוי והמבנה מחדש של קבוצות בחסות צפון קוריאה כמו לזרוס. קבוצות אלה משתפות פעולה יותר ויותר כדי להחליף כלים וטקטיקות, ויוצרות נוף מטושטש כשהן מתמידות ביצירת תוכנות זדוניות מותאמות אישית הן עבור לינוקס והן עבור macOS.
מומחים מאמינים שהגופים שמתזמרים קמפיינים, כמו 3CX ו-JumpCloud, מעורבים באופן פעיל בפיתוח ושיתוף של ערכות כלים מגוונות. שיתוף הפעולה הזה מצביע על כך שמסעות פרסום נוספים של תוכנות זדוניות של macOS המורכבות מכלי תוכנה זדוניות משופרים ויעילים יותר עשויים להיות באופק.
