ObjCShellz Malware
A BlueNoroff, az Észak-Koreához kötődő nemzetállami csoport most az ObjCShellz néven ismert macOS malware törzshöz kapcsolódik, amely korábban nem volt dokumentálva. Ez a fenyegetés kritikus szereplője a RustBucket rosszindulatú programok elleni kampányának, amely először 2023 elején jelent meg.
A BlueNoroff múltbeli tevékenységét vizsgálva a kutatók úgy vélik, hogy az ObjCShellz egy többlépcsős malware-rendszer késői összetevőjeként működik, amelyet social engineering taktikával szállítanak. A BlueNoroff, amelyet különféle álnevekkel is ismernek, mint például az APT38, a Nickel Gladstone, a Sapphire Sleet, a Stardust Chollima és a TA444, a hírhedt Lazarus Group alcsoportjaként működik. Ez a pénzügyi bűncselekményekre specializálódott hackercsoport a bankokat és a kriptoszektort veszi célba, a szankciók megkerülésére és a rezsim számára törvénytelen haszonszerzésre törekszik.
Tartalomjegyzék
A Lazarus APT csoport továbbra is aktív kiberbűnözési fenyegetések szereplője
Az ObjCShellz felfedezése nem sokkal azután jelent meg, hogy az APT (Advanced Persistent Threat) Lazarus Group egy friss KANDYKORN nevű macOS-malware-t alkalmaz a blokklánc-mérnökök megcélzására. Egy másik, a fenyegetést okozó szereplőhöz kapcsolódó macOS-rosszindulatú program a RustBucket , amelyet AppleScript-alapú hátsó ajtóként jellemeznek, amelyet arra terveztek, hogy a támadó által irányított szerverről lekérjen egy második szintű hasznos adatot.
Ezek a támadások olyan mintát követnek, ahol a potenciális célpontokat befektetési tanácsadás vagy munkalehetőség ígéretével csábítják el. A valódi szándék azonban az, hogy a fertőzési folyamatot beindítsák egy csalidokumentum segítségével.
Az ObjCShellz rosszindulatú program egyszerű, de hatékony
Az ObjCShellz nevet kapta, mivel az Objective-C-ben készült, és ez a rosszindulatú program egyszerű távoli héjként szolgál. A támadó szerverétől kapott shell-parancsokat hajtja végre.
A kutatók nem rendelkeznek konkrét információkkal az ObjCShellz hivatalos célpontjairól. A 2023-ban megfigyelt támadásokat és a támadók által létrehozott domain nevet figyelembe véve azonban valószínű, hogy a kártevőt a kriptovaluta iparhoz kötődő vagy ahhoz szorosan kapcsolódó cég ellen alkalmazták.
A támadás kezdeti hozzáférésének pontos módja egyelőre ismeretlen. Fennáll a gyanú, hogy a kártevőt kizsákmányolás utáni rakományként szállították, amely lehetővé teszi a parancsok kézi végrehajtását a feltört gépen. Egyszerűsége ellenére az ObjCShellz rendkívül működőképesnek bizonyult, és jól szolgálja a támadókat céljaik elérésében.
A kutatók arra figyelmeztetnek, hogy Észak-Koreával kapcsolatos hackercsoportok fejlődnek
Az ObjCShellz-re vonatkozó kinyilatkoztatás egybeesik az Észak-Korea által szponzorált csoportok, például a Lazarus átalakulásával és szerkezetátalakításával. Ezek a csoportok egyre gyakrabban működnek együtt az eszközök és taktikák cseréjében, elmosódott környezetet teremtve, miközben továbbra is testreszabott rosszindulatú programokat készítenek Linuxra és macOS-re egyaránt.
A szakértők úgy vélik, hogy a kampányokat szervező entitások, mint például a 3CX és a JumpCloud, aktívan részt vesznek a különféle eszközkészletek fejlesztésében és megosztásában. Ez az együttműködés azt sugallja, hogy további, továbbfejlesztett és leegyszerűsített kártevőeszközökből álló macOS-kampányok lehetnek kilátásban.
