Złośliwe oprogramowanie ObjCShellz
BlueNoroff, grupa państw narodowych powiązana z Koreą Północną, jest obecnie powiązana ze odmianą złośliwego oprogramowania dla systemu macOS znaną jako ObjCShellz, która wcześniej nie była udokumentowana. Zagrożenie to odgrywa kluczową rolę w kampanii złośliwego oprogramowania RustBucket, która pojawiła się po raz pierwszy na początku 2023 roku.
Badając wcześniejsze działania BlueNoroff, badacze uważają, że ObjCShellz funkcjonuje jako komponent późnej fazy w wieloetapowym systemie szkodliwego oprogramowania dostarczanego przy użyciu taktyk socjotechniki. BlueNoroff, znany również pod różnymi pseudonimami, takimi jak APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima i TA444, działa jako podzbiór niesławnej grupy Lazarus . Ta grupa hakerów, specjalizująca się w przestępstwach finansowych, atakuje banki i sektor kryptograficzny, a jej celem jest ominięcie sankcji i wygenerowanie nielegalnych zysków dla reżimu.
Spis treści
Grupa Lazarus APT pozostaje aktywnym podmiotem zajmującym się zagrożeniami cyberprzestępczymi
Odkrycie ObjCShellz następuje wkrótce po doniesieniach o grupie APT (Advanced Persistent Threat) Lazarus, która wykorzystuje nowe złośliwe oprogramowanie dla systemu macOS o nazwie KANDYKORN w celu ataku na inżynierów blockchain. Innym złośliwym oprogramowaniem dla systemu macOS powiązanym z tym zagrożeniem jest RustBucket , charakteryzujący się backdoorem opartym na AppleScript, zaprojektowanym w celu pobrania ładunku drugiego etapu z serwera kontrolowanego przez osobę atakującą.
Ataki te przebiegają według schematu, w którym potencjalne cele są kuszone obietnicą porady inwestycyjnej lub możliwości zatrudnienia. Jednak prawdziwym zamiarem jest zainicjowanie procesu infekcji poprzez użycie dokumentu-wabika.
Złośliwe oprogramowanie ObjCShellz jest proste, ale skuteczne
Szkodnik ten, nazwany ObjCShellz ze względu na jego utworzenie w Objective-C, służy jako prosta zdalna powłoka. Wykonuje polecenia powłoki otrzymane z serwera atakującego.
Badaczom brakuje konkretnych informacji na temat oficjalnych celów ObjCShellz. Biorąc jednak pod uwagę ataki zaobserwowane w 2023 r. oraz nazwę domeny stworzoną przez atakujących, prawdopodobne jest, że szkodliwe oprogramowanie zostało wykorzystane przeciwko firmie powiązanej z branżą kryptowalut lub ściśle z nią związaną.
Dokładna metoda wstępnego dostępu do ataku pozostaje obecnie nieznana. Istnieje podejrzenie, że złośliwe oprogramowanie jest dostarczane jako ładunek poeksploatacyjny, umożliwiający ręczne wykonywanie poleceń na zaatakowanej maszynie. Pomimo swojej prostoty ObjCShellz okazuje się bardzo funkcjonalny, dobrze służąc atakującym w osiąganiu ich celów.
Badacze ostrzegają, że grupy hakerów powiązane z Koreą Północną ewoluują
Ujawnienie dotyczące ObjCShellz zbiega się z transformacją i restrukturyzacją grup sponsorowanych przez Koreę Północną, takich jak Lazarus. Grupy te w coraz większym stopniu współpracują w celu wymiany narzędzi i taktyk, tworząc niejasny krajobraz, ponieważ nieustannie tworzą niestandardowe złośliwe oprogramowanie dla systemu Linux i macOS.
Eksperci uważają, że podmioty koordynujące kampanie, takie jak 3CX i JumpCloud, aktywnie angażują się w rozwój i udostępnianie różnorodnych zestawów narzędzi. Współpraca ta sugeruje, że na horyzoncie mogą pojawić się dodatkowe kampanie szkodliwego oprogramowania dla systemu macOS, składające się z ulepszonych i usprawnionych narzędzi szkodliwego oprogramowania.
