ObjCShellz 악성 코드

북한과 연계된 민족 국가 그룹인 BlueNoroff는 이전에 문서화되지 않았던 ObjCShellz로 알려진 macOS 악성 코드 변종과 연관되어 있습니다. 이 위협은 2023년 초에 처음 등장한 RustBucket 악성 코드 캠페인에서 중요한 역할을 합니다.

BlueNoroff의 과거 활동을 조사한 연구원들은 ObjCShellz가 사회 공학 전술을 통해 전달되는 다단계 악성 코드 시스템의 최종 단계 구성 요소로 작동한다고 믿습니다. APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima 및 TA444와 같은 다양한 별칭으로도 알려진 BlueNoroff는 악명 높은 Lazarus Group 의 하위 집합으로 운영됩니다. 금융 범죄를 전문으로 하는 이 해커 그룹은 제재를 우회하고 정권을 위해 불법적인 이익을 창출하는 것을 목표로 은행과 암호화폐 부문을 표적으로 삼고 있습니다.

Lazarus APT 그룹은 여전히 활동적인 사이버 범죄 위협 행위자입니다.

ObjCShellz 발견은 APT(Advanced Persistant Threat) Lazarus Group이 블록체인 엔지니어를 표적으로 삼기 위해 KANDYKORN 이라는 새로운 macOS 악성코드를 사용하고 있다는 보고 직후에 나왔습니다. 이 위협 행위자와 관련된 또 다른 macOS 악성 코드는 RustBucket 입니다. 이는 공격자가 제어하는 서버에서 2단계 페이로드를 가져오도록 설계된 AppleScript 기반 백도어를 특징으로 합니다.

이러한 공격은 투자 조언이나 취업 기회를 약속하며 잠재적인 표적을 유인하는 패턴을 따릅니다. 그러나 실제 의도는 미끼 문서를 사용하여 감염 프로세스를 시작하는 것입니다.

ObjCShellz 악성 코드는 간단하면서도 효과적입니다.

Objective-C에서 생성되었기 때문에 ObjCShellz라는 이름의 이 악성코드는 간단한 원격 셸 역할을 합니다. 공격자의 서버로부터 받은 쉘 명령을 실행한다.

연구원들은 ObjCShellz의 공식 목표에 관한 구체적인 정보가 부족합니다. 그러나 2023년에 관찰된 공격과 공격자가 만든 도메인 이름으로 미루어 볼 때 해당 악성코드는 암호화폐 산업과 연관되거나 밀접하게 연관되어 있는 회사를 대상으로 사용되었을 가능성이 높습니다.

공격에 대한 초기 액세스의 정확한 방법은 현재로서는 알려지지 않았습니다. 악성코드는 공격 후 페이로드로 전달되어 손상된 시스템에서 명령을 수동으로 실행할 수 있다는 의혹이 있습니다. 단순함에도 불구하고 ObjCShellz는 매우 기능적이며 공격자가 목표를 달성하는 데 도움을 줍니다.

연구원들, 북한 관련 해커 그룹이 진화하고 있다고 경고

ObjCShellz에 관한 폭로는 Lazarus와 같은 북한이 후원하는 단체의 변화 및 구조 조정과 일치합니다. 이러한 그룹은 도구와 전술을 교환하기 위해 점점 더 협력하고 있으며 Linux와 macOS 모두에 대한 맞춤형 악성 코드를 계속 제작하면서 흐릿한 환경을 조성하고 있습니다.

전문가들은 3CX 및 JumpCloud와 같은 캠페인을 조율하는 주체가 다양한 도구 세트의 개발 및 공유에 적극적으로 참여하고 있다고 믿습니다. 이번 협력을 통해 개선되고 더욱 간소화된 맬웨어 도구로 구성된 추가 macOS 맬웨어 캠페인이 곧 등장할 수 있음을 시사합니다.