„ObjCShellz“ kenkėjiška programa
„BlueNoroff“, nacionalinės valstybės grupė, turinti ryšių su Šiaurės Korėja, dabar yra susijusi su „MacOS“ kenkėjiškų programų atmaina, žinoma kaip „ObjCShellz“, kuri anksčiau nebuvo dokumentuota. Ši grėsmė yra labai svarbi „RustBucket“ kenkėjiškų programų kampanijos, kuri pirmą kartą pasirodė 2023 m.
Nagrinėdami „BlueNoroff“ ankstesnę veiklą, mokslininkai mano, kad „ObjCShellz“ veikia kaip vėlyvojo etapo komponentas daugiapakopėje kenkėjiškų programų sistemoje, kuri pristatoma naudojant socialinės inžinerijos taktiką. BlueNoroff, taip pat žinomas įvairiais slapyvardžiais, tokiais kaip APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ir TA444, veikia kaip liūdnai pagarsėjusios Lazarus Group pogrupis. Ši įsilaužėlių grupė, besispecializuojanti finansiniuose nusikaltimuose, taikosi į bankus ir kriptovaliutų sektorių, siekdama apeiti sankcijas ir gauti neteisėtą pelną režimui.
Turinys
„Lazarus APT Group“ išlieka aktyvi elektroninių nusikaltimų grėsmės veikėja
„ObjCShellz“ atradimas buvo atliktas netrukus po pranešimų apie APT (Advanced Persistent Threat) Lazarus Group, naudojančią naują „MacOS“ kenkėjišką programą, pavadintą KANDYKORN , skirtą „blockchain“ inžinieriams. Kita „MacOS“ kenkėjiška programa, susijusi su šiuo grėsmės veikėju, yra „RustBucket“ , kuri apibūdinama kaip „AppleScript“ pagrindu sukurta užpakalinė durelė, skirta gauti antrosios pakopos naudingąją apkrovą iš užpuoliko valdomo serverio.
Šios atakos vyksta pagal modelį, kai potencialūs taikiniai suviliojami žadant patarimą investuoti arba galimybę įsidarbinti. Tačiau tikrasis tikslas yra pradėti infekcijos procesą naudojant jauko dokumentą.
„ObjCShellz“ kenkėjiška programa yra paprasta, bet efektyvi
Pavadinta „ObjCShellz“, nes ji sukurta „Objective-C“, ši kenkėjiška programa yra paprastas nuotolinis apvalkalas. Jis vykdo apvalkalo komandas, gautas iš užpuoliko serverio.
Tyrėjai neturi konkrečios informacijos apie oficialius ObjCShellz tikslus. Tačiau, įvertinus 2023 metais pastebėtas atakas ir užpuolikų sukurtą domeno pavadinimą, tikėtina, kad kenkėjiška programa buvo panaudota prieš įmonę, susijusią su kriptovaliutų pramone arba glaudžiai su ja susijusią.
Tikslus pradinės prieigos prie atakos metodas šiuo metu nežinomas. Yra įtarimų, kad kenkėjiška programa pateikiama kaip naudingas krovinys po išnaudojimo, leidžiantis rankiniu būdu vykdyti komandas pažeistame kompiuteryje. Nepaisant savo paprastumo, „ObjCShellz“ yra labai funkcionalus ir puikiai padeda užpuolikams pasiekti savo tikslus.
Tyrėjai perspėja, kad su Šiaurės Korėja susijusios įsilaužėlių grupės vystosi
Atskleidimas apie „ObjCShellz“ sutampa su Šiaurės Korėjos remiamų grupių, tokių kaip „Lazarus“, transformacija ir restruktūrizavimu. Šios grupės vis dažniau bendradarbiauja, kad keistųsi įrankiais ir taktika, sukurdamos neryškų kraštovaizdį, kai jos ir toliau kuria tinkintas kenkėjiškas programas, skirtas „Linux“ ir „MacOS“.
Ekspertai mano, kad kampanijas organizuojantys subjektai, tokie kaip 3CX ir JumpCloud, aktyviai dalyvauja kuriant ir dalijantis įvairiais įrankių rinkiniais. Šis bendradarbiavimas rodo, kad gali atsirasti papildomų „MacOS“ kenkėjiškų programų kampanijų, kurias sudaro patobulinti ir supaprastinti kenkėjiškų programų įrankiai.
