ObjCShellz Malware
BlueNoroff, un grup de stat național cu legături cu Coreea de Nord, este acum asociat cu o tulpină de malware macOS cunoscută sub numele de ObjCShellz, care anterior nu era documentată. Această amenințare este un jucător esențial în campania de malware RustBucket, care a apărut pentru prima dată la începutul anului 2023.
Examinând activitățile anterioare ale BlueNoroff, cercetătorii cred că ObjCShellz funcționează ca o componentă avansată într-un sistem malware în mai multe etape furnizat prin tactici de inginerie socială. BlueNoroff, cunoscut și sub diferite pseudonime, cum ar fi APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima și TA444, funcționează ca un subset al infamului Lazarus Group . Specializat în infracțiuni financiare, acest grup de hackeri vizează băncile și sectorul cripto, cu scopul de a ocoli sancțiunile și de a genera profituri ilegale pentru regim.
Cuprins
Grupul Lazarus APT rămâne un actor activ în amenințarea criminalității cibernetice
Descoperirea ObjCShellz vine la scurt timp după rapoartele APT (Advanced Persistent Threat) Lazarus Group care utilizează un proaspăt malware macOS numit KANDYKORN pentru a viza inginerii blockchain. Un alt malware macOS asociat cu acest actor de amenințare este RustBucket , caracterizat ca o ușă din spate bazată pe AppleScript, concepută pentru a prelua o încărcare utilă din a doua etapă de la un server controlat de atacator.
Aceste atacuri urmează un model în care potențialele ținte sunt atrase cu promisiunea de a oferi sfaturi de investiții sau o oportunitate de muncă. Cu toate acestea, adevărata intenție este de a iniția procesul de infecție prin utilizarea unui document de momeală.
Programul malware ObjCShellz este simplu, dar eficient
Denumit ObjCShellz datorită faptului că a fost creat în Objective-C, acest malware servește ca un shell la distanță simplu. Execută comenzi shell primite de la serverul atacatorului.
Cercetătorilor le lipsesc informații specifice cu privire la țintele oficiale ale ObjCShellz. Cu toate acestea, având în vedere atacurile observate în 2023 și numele de domeniu creat de atacatori, este probabil ca malware-ul să fi fost folosit împotriva unei companii asociate cu industria criptomonedei sau strâns legată de aceasta.
Metoda precisă de acces inițial pentru atac rămâne necunoscută în prezent. Există suspiciunea că malware-ul este livrat ca sarcină utilă post-exploatare, permițând executarea manuală a comenzilor pe mașina compromisă. În ciuda simplității sale, ObjCShellz se dovedește a fi foarte funcțional, servind atacatorilor bine în atingerea obiectivelor lor.
Cercetătorii avertizează că grupurile de hackeri legate de Coreea de Nord evoluează
Dezvăluirea privind ObjCShellz coincide cu transformarea și restructurarea unor grupuri sponsorizate de Coreea de Nord precum Lazarus. Aceste grupuri colaborează din ce în ce mai mult pentru a face schimb de instrumente și tactici, creând un peisaj neclar, deoarece persistă în crearea de programe malware personalizate atât pentru Linux, cât și pentru macOS.
Experții consideră că entitățile care orchestrează campanii, cum ar fi 3CX și JumpCloud, sunt implicate activ în dezvoltarea și partajarea diverselor seturi de instrumente. Această colaborare sugerează că ar putea fi la orizont campanii suplimentare de malware macOS, constând în instrumente de malware îmbunătățite și mai simplificate.
