ObjCShellz Malware
O BlueNoroff, um grupo estatal com ligações à Coreia do Norte, está agora associado a uma variedade de malware macOS conhecida como ObjCShellz, que anteriormente não estava documentada. Esta ameaça é um ator crítico na campanha de malware RustBucket, que surgiu pela primeira vez no início de 2023.
Examinando as atividades anteriores da BlueNoroff, os pesquisadores acreditam que o ObjCShellz funciona como um componente de estágio final em um sistema de malware de vários estágios entregue por meio de táticas de engenharia social. BlueNoroff, também conhecido por vários pseudônimos como APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima e TA444, opera como um subconjunto do infame Grupo Lazarus. Especializado em crimes financeiros, este grupo de hackers tem como alvo os bancos e o setor criptográfico, com o objetivo de contornar sanções e gerar lucros ilegais para o regime.
Índice
O Grupo Lazarus APT Continua sendo um Autor Ativo de Ameaças de Crimes Cibernéticos
A descoberta do ObjCShellz ocorre logo após relatos do APT (Advanced Persistent Threat) Lazarus Group empregando um novo malware macOS chamado KANDYKORN para atingir engenheiros de blockchain. Outro malware macOS associado a esse agente de ameaça é o RustBucket, caracterizado como um backdoor baseado em AppleScript projetado para buscar uma carga útil de segundo estágio de um servidor controlado pelo invasor.
Estes ataques seguem um padrão em que potenciais alvos são atraídos com a promessa de aconselhamento de investimento ou de uma oportunidade de emprego. No entanto, a verdadeira intenção é iniciar o processo de infecção através do uso de um documento falso.
O ObjCShellz Malware é Simples, mas Eficaz
Chamado de ObjCShellz por ter sido criado em Objective-C, esse malware serve como um shell remoto simples. Ele executa comandos shell recebidos do servidor do invasor.
Os pesquisadores carecem de informações específicas sobre os alvos oficiais do ObjCShellz. No entanto, considerando os ataques observados em 2023 e o nome de domínio criado pelos atacantes, é provável que o malware tenha sido empregado contra uma empresa associada à indústria de criptomoedas ou intimamente ligada a ela.
O método preciso de acesso inicial para o ataque permanece desconhecido no momento. Suspeita-se que o malware seja entregue como uma carga pós-exploração, permitindo a execução manual de comandos na máquina comprometida. Apesar da sua simplicidade, o ObjCShellz revela-se altamente funcional, servindo bem os atacantes na concretização dos seus objectivos.
Os Pesquisadores Alertam que Grupos de Hackers Relacionados à Coreia do Norte estão Evoluindo
A revelação sobre ObjCShellz coincide com a transformação e reestruturação de grupos patrocinados pela Coreia do Norte, como o Lazarus. Esses grupos estão colaborando cada vez mais para trocar ferramentas e táticas, criando um cenário confuso à medida que persistem na criação de malware personalizado para Linux e macOS.
Os especialistas acreditam que as entidades que orquestram as campanhas, como 3CX e JumpCloud, estão ativamente envolvidas no desenvolvimento e partilha de diversos conjuntos de ferramentas. Esta colaboração sugere que campanhas adicionais de malware para macOS, consistindo em ferramentas de malware aprimoradas e mais simplificadas, podem estar no horizonte.
