ObjCShellz ļaunprātīga programmatūra
BlueNoroff, nacionālo valstu grupa, kas ir saistīta ar Ziemeļkoreju, tagad ir saistīta ar MacOS ļaunprātīgas programmatūras celmu, kas pazīstams kā ObjCShellz, kas iepriekš nebija dokumentēts. Šis drauds ir būtisks spēlētājs RustBucket ļaunprātīgas programmatūras kampaņā, kas pirmo reizi parādījās 2023. gada sākumā.
Izpētot BlueNoroff pagātnes darbības, pētnieki uzskata, ka ObjCShellz darbojas kā vēlīnās stadijas komponents daudzpakāpju ļaunprātīgas programmatūras sistēmā, kas tiek piegādāta, izmantojot sociālās inženierijas taktikas. BlueNoroff, kas pazīstams arī ar dažādiem aizstājvārdiem, piemēram, APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima un TA444, darbojas kā bēdīgi slavenās Lazarus grupas apakškopa. Šī hakeru grupa, kas specializējas finanšu noziegumos, vēršas pret bankām un kriptovalūtu sektoru, lai apietu sankcijas un radītu režīmam nelikumīgu peļņu.
Satura rādītājs
Lazarus APT grupa joprojām ir aktīva kibernoziedzības draudu dalībniece
ObjCShellz atklājums nāk īsi pēc ziņojumiem par APT (Advanced Persistent Threat) Lazarus Group, kas izmanto jaunu macOS ļaunprātīgu programmatūru ar nosaukumu KANDYKORN , lai mērķētu uz blokķēdes inženieriem. Vēl viena MacOS ļaunprātīga programmatūra, kas saistīta ar šo apdraudējumu, ir RustBucket , kas raksturota kā uz AppleScript balstīta aizmugures durvis, kas paredzētas otrās pakāpes lietderīgās slodzes iegūšanai no uzbrucēja kontrolēta servera.
Šie uzbrukumi seko modelim, kurā potenciālie mērķi tiek vilināti ar solījumu sniegt ieguldījumu padomu vai darba iespēju. Tomēr patiesais nolūks ir uzsākt inficēšanās procesu, izmantojot mānekļu dokumentu.
ObjCShellz ļaunprogrammatūra ir vienkārša, taču efektīva
Šī ļaunprātīgā programmatūra, kas nosaukta par ObjCShellz, jo tā ir izveidota programmā Objective-C, kalpo kā vienkāršs attālais apvalks. Tas izpilda čaulas komandas, kas saņemtas no uzbrucēja servera.
Pētniekiem trūkst konkrētas informācijas par oficiālajiem ObjCShellz mērķiem. Tomēr, ņemot vērā 2023. gadā novērotos uzbrukumus un uzbrucēju izveidoto domēna nosaukumu, visticamāk, ļaunprogrammatūra tika izmantota pret kādu ar kriptovalūtu nozari saistītu vai ar to cieši saistītu uzņēmumu.
Precīza sākotnējās piekļuves metode uzbrukumam pašlaik nav zināma. Pastāv aizdomas, ka ļaunprogrammatūra tiek piegādāta kā lietderīgā slodze pēc ekspluatācijas, kas ļauj manuāli izpildīt komandas uzlauztajā datorā. Neskatoties uz vienkāršību, ObjCShellz izrādās ļoti funkcionāls, labi palīdzot uzbrucējiem sasniegt savus mērķus.
Pētnieki brīdina, ka ar Ziemeļkoreju saistītas hakeru grupas attīstās
Atklāsme par ObjCShellz sakrīt ar Ziemeļkorejas sponsorēto grupu, piemēram, Lazarus, transformāciju un pārstrukturēšanu. Šīs grupas arvien vairāk sadarbojas, lai apmainītos ar rīkiem un taktiku, radot neskaidru ainavu, jo tās turpina izstrādāt pielāgotu ļaunprātīgu programmatūru gan Linux, gan MacOS.
Eksperti uzskata, ka organizācijas, kas organizē kampaņas, piemēram, 3CX un JumpCloud, aktīvi iesaistās dažādu rīku komplektu izstrādē un koplietošanā. Šī sadarbība liecina, ka varētu būt gaidāmas papildu MacOS ļaunprātīgas programmatūras kampaņas, kas sastāv no uzlabotiem un racionalizētākiem ļaunprātīgas programmatūras rīkiem.
