ObjCShellzMalware
BlueNoroff, un gruppo-stato con legami con la Corea del Nord, è ora associato a un ceppo di malware macOS noto come ObjCShellz, che in precedenza non era documentato. Questa minaccia gioca un ruolo fondamentale nella campagna malware RustBucket, emersa per la prima volta all’inizio del 2023.
Esaminando le attività passate di BlueNoroff, i ricercatori ritengono che ObjCShellz funzioni come un componente in fase avanzata in un sistema malware a più fasi distribuito attraverso tattiche di ingegneria sociale. BlueNoroff, conosciuto anche con vari alias come APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima e TA444, opera come un sottoinsieme del famigerato Lazarus Group . Specializzato in crimini finanziari, questo gruppo di hacker prende di mira le banche e il settore delle criptovalute, con l'obiettivo di aggirare le sanzioni e generare profitti illegali per il regime.
Sommario
Il gruppo Lazarus APT rimane un attore attivo della minaccia del crimine informatico
La scoperta di ObjCShellz arriva poco dopo le notizie secondo cui il gruppo Lazarus APT (Advanced Persistent Threat) utilizza un nuovo malware macOS chiamato KANDYKORN per prendere di mira gli ingegneri blockchain. Un altro malware per macOS associato a questo hacker è RustBucket , caratterizzato da una backdoor basata su AppleScript progettata per recuperare un payload di seconda fase da un server controllato dall'aggressore.
Questi attacchi seguono uno schema in cui i potenziali obiettivi vengono attirati con la promessa di consulenza in materia di investimenti o di un’opportunità di lavoro. Tuttavia, il vero intento è avviare il processo di infezione tramite l’utilizzo di un documento esca.
Il malware ObjCShellz è semplice ma efficace
Chiamato ObjCShellz perché creato in Objective-C, questo malware funge da semplice shell remota. Esegue i comandi shell ricevuti dal server dell'aggressore.
I ricercatori non hanno informazioni specifiche sugli obiettivi ufficiali di ObjCShellz. Tuttavia, considerando gli attacchi osservati nel 2023 e il nome di dominio creato dagli aggressori, è probabile che il malware sia stato utilizzato contro un’azienda legata all’industria delle criptovalute o ad essa strettamente collegata.
Al momento non è ancora nota la modalità esatta del primo accesso all'attacco. Si sospetta che il malware venga distribuito come payload post-sfruttamento, consentendo l'esecuzione manuale di comandi sulla macchina compromessa. Nonostante la sua semplicità, ObjCShellz si rivela altamente funzionale, aiutando gli aggressori a raggiungere i loro obiettivi.
I ricercatori avvertono che i gruppi di hacker legati alla Corea del Nord si stanno evolvendo
La rivelazione riguardante ObjCShellz coincide con la trasformazione e la ristrutturazione di gruppi sponsorizzati dalla Corea del Nord come Lazarus. Questi gruppi collaborano sempre di più per scambiarsi strumenti e tattiche, creando un panorama confuso mentre persistono nella creazione di malware personalizzati sia per Linux che per macOS.
Gli esperti ritengono che le entità che orchestrano le campagne, come 3CX e JumpCloud, siano attivamente coinvolte nello sviluppo e nella condivisione di diversi set di strumenti. Questa collaborazione suggerisce che potrebbero essere all’orizzonte ulteriori campagne malware per macOS costituite da strumenti malware migliorati e più snelli.
