ObjCShellz Malware
BlueNoroff, kumpulan negara bangsa yang mempunyai hubungan dengan Korea Utara, kini dikaitkan dengan jenis perisian hasad macOS yang dikenali sebagai ObjCShellz, yang sebelum ini tidak didokumenkan. Ancaman ini merupakan pemain kritikal dalam kempen perisian hasad RustBucket, yang pertama kali muncul pada awal 2023.
Meneliti aktiviti lepas BlueNoroff, penyelidik percaya bahawa ObjCShellz berfungsi sebagai komponen peringkat akhir dalam sistem perisian hasad berbilang peringkat yang dihantar melalui taktik kejuruteraan sosial. BlueNoroff, juga dikenali dengan pelbagai alias seperti APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima dan TA444, beroperasi sebagai subset Kumpulan Lazarus yang terkenal . Mengkhususkan diri dalam jenayah kewangan, kumpulan penggodam ini menyasarkan bank dan sektor crypto, bertujuan untuk memintas sekatan dan menjana keuntungan yang menyalahi undang-undang untuk rejim.
Isi kandungan
Kumpulan APT Lazarus Kekal Pelakon Ancaman Jenayah Siber yang Aktif
Penemuan ObjCShellz datang sejurus selepas laporan Kumpulan Lazarus APT (Advanced Persistent Threat) menggunakan perisian hasad macOS baharu bernama KANDYKORN untuk menyasarkan jurutera blokchain. Satu lagi perisian hasad macOS yang dikaitkan dengan pelakon ancaman ini ialah RustBucket , dicirikan sebagai pintu belakang berasaskan AppleScript yang direka untuk mengambil muatan peringkat kedua daripada pelayan yang dikawal oleh penyerang.
Serangan ini mengikut corak di mana sasaran berpotensi tertarik dengan janji nasihat pelaburan atau peluang pekerjaan. Walau bagaimanapun, niat sebenar adalah untuk memulakan proses jangkitan melalui penggunaan dokumen decoy.
Perisian Hasad ObjCShellz Mudah Namun Berkesan
Dinamakan ObjCShellz kerana ia dicipta dalam Objektif-C, perisian hasad ini berfungsi sebagai cangkerang jauh yang mudah. Ia melaksanakan perintah shell yang diterima daripada pelayan penyerang.
Para penyelidik kekurangan maklumat khusus mengenai sasaran rasmi ObjCShellz. Walau bagaimanapun, memandangkan serangan yang diperhatikan pada tahun 2023 dan nama domain yang dicipta oleh penyerang, kemungkinan besar perisian hasad itu digunakan terhadap syarikat yang dikaitkan dengan industri mata wang kripto atau berkait rapat dengannya.
Kaedah tepat akses awal untuk serangan itu masih tidak diketahui pada masa ini. Terdapat syak wasangka bahawa perisian hasad dihantar sebagai muatan pasca eksploitasi, membolehkan pelaksanaan manual arahan pada mesin yang terjejas. Walaupun kesederhanaannya, ObjCShellz terbukti sangat berfungsi, melayani penyerang dengan baik dalam mencapai objektif mereka.
Penyelidik Memberi Amaran Bahawa Kumpulan Penggodam Berkaitan Korea Utara Sedang Berkembang
Pendedahan berkenaan ObjCShellz bertepatan dengan transformasi dan penstrukturan semula kumpulan tajaan Korea Utara seperti Lazarus. Kumpulan ini semakin bekerjasama untuk bertukar-tukar alat dan taktik, mencipta landskap kabur kerana mereka berterusan dalam mencipta perisian hasad tersuai untuk kedua-dua Linux dan macOS.
Pakar percaya bahawa entiti yang mengatur kempen, seperti 3CX dan JumpCloud, terlibat secara aktif dalam pembangunan dan perkongsian set alatan yang pelbagai. Kerjasama ini mencadangkan bahawa kempen perisian hasad macOS tambahan yang terdiri daripada alat perisian hasad yang lebih baik dan lebih diperkemas boleh didapati di ufuk.
