ObjCShellz-malware
BlueNoroff, een natiestatengroep met banden met Noord-Korea, wordt nu in verband gebracht met een macOS-malwaresoort bekend als ObjCSellz, die voorheen niet gedocumenteerd was. Deze dreiging is een cruciale speler in de RustBucket-malwarecampagne, die begin 2023 voor het eerst opdook.
Bij het onderzoeken van de eerdere activiteiten van BlueNoroff zijn onderzoekers van mening dat ObjCSellz functioneert als een laat-stadiumcomponent in een meerfasig malwaresysteem dat wordt geleverd via social engineering-tactieken. BlueNoroff, ook bekend onder verschillende aliassen zoals APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima en TA444, opereert als een subset van de beruchte Lazarus Group . Deze hackergroep, gespecialiseerd in financiële misdaden, richt zich op banken en de cryptosector, met als doel sancties te omzeilen en onwettige winsten voor het regime te genereren.
Inhoudsopgave
De Lazarus APT Group blijft een actieve cybercriminaliteitsbedreiging
De ontdekking van ObjCShelz komt kort na berichten over de APT (Advanced Persistent Threat) Lazarus Group die een nieuwe macOS-malware genaamd KANDYKORN gebruikt om zich te richten op blockchain-ingenieurs. Een andere macOS-malware die verband houdt met deze bedreigingsactor is RustBucket , gekenmerkt als een op AppleScript gebaseerde achterdeur die is ontworpen om een tweede fase-payload op te halen van een server die wordt beheerd door de aanvaller.
Deze aanvallen volgen een patroon waarbij potentiële doelwitten worden verleid met de belofte van beleggingsadvies of een baan. De echte bedoeling is echter om het infectieproces op gang te brengen door het gebruik van een lokdocument.
De ObjCShelz-malware is eenvoudig maar effectief
Deze malware heet ObjCSellz omdat deze in Objective-C is gemaakt en fungeert als een eenvoudige externe shell. Het voert shell-opdrachten uit die zijn ontvangen van de server van de aanvaller.
De onderzoekers missen specifieke informatie over de officiële doelen van ObjCShelz. Gezien de waargenomen aanvallen in 2023 en de door de aanvallers gecreëerde domeinnaam is het echter waarschijnlijk dat de malware werd ingezet tegen een bedrijf dat geassocieerd is met de cryptocurrency-industrie of daar nauw mee verbonden is.
De precieze methode van initiële toegang voor de aanval blijft momenteel onbekend. Er bestaat een vermoeden dat de malware wordt geleverd als post-exploitatielading, waardoor handmatige uitvoering van opdrachten op de besmette machine mogelijk wordt. Ondanks zijn eenvoud blijkt ObjCSellz zeer functioneel te zijn en de aanvallers goed van dienst te zijn bij het bereiken van hun doelstellingen.
Onderzoekers waarschuwen dat aan Noord-Korea gerelateerde hackergroepen evolueren
De onthulling over ObjCShelz valt samen met de transformatie en herstructurering van door Noord-Korea gesponsorde groepen zoals Lazarus. Deze groepen werken steeds meer samen om tools en tactieken uit te wisselen, waardoor een wazig landschap ontstaat terwijl ze volharden in het maken van aangepaste malware voor zowel Linux als macOS.
Experts zijn van mening dat de entiteiten die campagnes organiseren, zoals 3CX en JumpCloud, actief betrokken zijn bij de ontwikkeling en het delen van diverse toolsets. Deze samenwerking suggereert dat er mogelijk aanvullende macOS-malwarecampagnes, bestaande uit verbeterde en meer gestroomlijnde malwaretools, in het verschiet liggen.
