ObjCShellz skadelig programvare
BlueNoroff, en nasjonalstatsgruppe med bånd til Nord-Korea, er nå assosiert med en macOS malware-stamme kjent som ObjCShellz, som tidligere var udokumentert. Denne trusselen er en kritisk aktør i RustBucket-malwarekampanjen, som først dukket opp tidlig i 2023.
Ved å undersøke BlueNoroffs tidligere aktiviteter, mener forskere at ObjCShellz fungerer som en sen-fase-komponent i et flertrinns malware-system levert gjennom sosial ingeniør-taktikk. BlueNoroff, også kjent under forskjellige aliaser som APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima og TA444, fungerer som en undergruppe av den beryktede Lazarus Group . Denne hackergruppen spesialiserer seg på økonomisk kriminalitet, og retter seg mot banker og kryptosektoren, med mål om å omgå sanksjoner og generere ulovlig fortjeneste for regimet.
Innholdsfortegnelse
Lazarus APT Group er fortsatt en aktiv trusselaktør for nettkriminalitet
ObjCShellz-oppdagelsen kommer kort tid etter rapporter om at APT (Advanced Persistent Threat) Lazarus Group bruker en fersk macOS-malware kalt KANDYKORN for å målrette mot blokkjedeingeniører. En annen macOS-skadevare assosiert med denne trusselaktøren er RustBucket , karakterisert som en AppleScript-basert bakdør designet for å hente en andre-trinns nyttelast fra en server kontrollert av angriperen.
Disse angrepene følger et mønster der potensielle mål lokkes med løfte om investeringsråd eller en jobbmulighet. Den sanne hensikten er imidlertid å sette i gang infeksjonsprosessen ved bruk av et lokkedokument.
ObjCShellz Malware er enkel, men effektiv
Navnet ObjCShellz på grunn av at den ble opprettet i Objective-C, fungerer denne skadelige programvaren som et enkelt eksternt skall. Den utfører skallkommandoer mottatt fra angriperens server.
Forskerne mangler spesifikk informasjon om de offisielle målene til ObjCShellz. Men med tanke på de observerte angrepene i 2023 og domenenavnet opprettet av angriperne, er det sannsynlig at skadevaren ble brukt mot et selskap tilknyttet kryptovalutaindustrien eller nært knyttet til den.
Den nøyaktige metoden for innledende tilgang for angrepet er foreløpig ukjent. Det er mistanke om at skadelig programvare er levert som en nyttelast etter utnyttelse, noe som muliggjør manuell kjøring av kommandoer på den kompromitterte maskinen. Til tross for sin enkelhet, viser ObjCShellz seg å være svært funksjonell, og tjener angriperne godt i å nå sine mål.
Forskere advarer om at Nord-Korea-relaterte hackergrupper utvikler seg
Avsløringen angående ObjCShellz faller sammen med transformasjonen og omstruktureringen av Nord-Korea-sponsede grupper som Lazarus. Disse gruppene samarbeider i økende grad for å utveksle verktøy og taktikker, og skaper et uskarpt landskap mens de fortsetter å lage tilpasset skadelig programvare for både Linux og macOS.
Eksperter mener at enhetene som orkestrerer kampanjer, som 3CX og JumpCloud, er aktivt involvert i utvikling og deling av ulike verktøysett. Dette samarbeidet antyder at ytterligere macOS-malwarekampanjer som består av forbedrede og mer strømlinjeformede skadevareverktøy kan være i horisonten.
