ObjCShellz Malware
BlueNoroff, nacionalna državna skupina povezana sa Sjevernom Korejom, sada je povezana s macOS zlonamjernim softverom poznatim kao ObjCShellz, koji je prethodno bio nedokumentiran. Ova je prijetnja ključni igrač u kampanji zlonamjernog softvera RustBucket, koja se prvi put pojavila početkom 2023.
Ispitujući BlueNoroffove prošle aktivnosti, istraživači vjeruju da ObjCShellz funkcionira kao komponenta kasne faze u višestupanjskom sustavu zlonamjernog softvera isporučenom kroz taktiku društvenog inženjeringa. BlueNoroff, također poznat pod raznim nadimcima kao što su APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima i TA444, djeluje kao podskup zloglasne Lazarus grupe . Specijalizirana za financijske zločine, ova hakerska skupina cilja na banke i kripto sektor, s ciljem zaobilaženja sankcija i stvaranja nezakonite dobiti za režim.
Sadržaj
Lazarus APT Group ostaje aktivan akter prijetnji kibernetičkog kriminala
Otkriće ObjCShellza dolazi nedugo nakon izvještaja o APT (Advanced Persistent Threat) Lazarus grupi koja koristi svježi macOS zlonamjerni softver pod nazivom KANDYKORN za ciljanje blockchain inženjera. Još jedan macOS zlonamjerni softver povezan s ovim akterom prijetnje je RustBucket , okarakteriziran kao backdoor temeljen na AppleScriptu dizajniran za dohvaćanje korisnog tereta druge faze s poslužitelja kojim upravlja napadač.
Ovi napadi slijede obrazac u kojem se potencijalne mete mame obećanjem investicijskog savjeta ili prilike za posao. Međutim, prava je namjera pokrenuti proces zaraze korištenjem dokumenta-varalice.
Zlonamjerni softver ObjCShellz jednostavan je, ali učinkovit
Nazvan ObjCShellz jer je stvoren u Objective-C, ovaj zlonamjerni softver služi kao jednostavna udaljena ljuska. Izvršava naredbe ljuske primljene od napadačevog poslužitelja.
Istraživačima nedostaju konkretne informacije o službenim ciljevima ObjCShellza. Međutim, uzimajući u obzir uočene napade 2023. i naziv domene koji su kreirali napadači, vjerojatno je da je zlonamjerni softver korišten protiv tvrtke povezane s industrijom kriptovaluta ili usko povezane s njom.
Točna metoda inicijalnog pristupa za napad za sada ostaje nepoznata. Postoji sumnja da se zlonamjerni softver isporučuje kao korisni teret nakon eksploatacije, omogućujući ručno izvršavanje naredbi na kompromitiranom računalu. Unatoč svojoj jednostavnosti, ObjCShellz se pokazao vrlo funkcionalnim, dobro služeći napadačima u postizanju njihovih ciljeva.
Istraživači upozoravaju da se hakerske skupine povezane sa Sjevernom Korejom razvijaju
Otkriće u vezi s ObjCShellzom podudara se s transformacijom i restrukturiranjem skupina koje sponzorira Sjeverna Koreja poput Lazarusa. Ove grupe sve više surađuju u razmjeni alata i taktika, stvarajući zamagljen krajolik dok ustraju u izradi prilagođenog zlonamjernog softvera za Linux i macOS.
Stručnjaci vjeruju da su subjekti koji upravljaju kampanjama, kao što su 3CX i JumpCloud, aktivno uključeni u razvoj i dijeljenje različitih skupova alata. Ova suradnja sugerira da bi dodatne kampanje zlonamjernog softvera za macOS koje se sastoje od poboljšanih i modernijih alata za zlonamjerni softver mogle biti na pomolu.
