Вредоносное ПО ObjCShellz
BlueNoroff, государственная группа, связанная с Северной Кореей, теперь связана с штаммом вредоносного ПО для macOS, известным как ObjCShellz, который ранее не был документирован. Эта угроза является ключевым игроком в вредоносной кампании RustBucket, которая впервые появилась в начале 2023 года.
Изучая прошлую деятельность BlueNoroff, исследователи полагают, что ObjCShellz функционирует как компонент поздней стадии в многоэтапной системе вредоносного ПО, создаваемой с помощью тактики социальной инженерии. BlueNoroff, также известная под различными псевдонимами, такими как APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima и TA444, действует как подразделение печально известной группы Lazarus . Эта хакерская группа, специализирующаяся на финансовых преступлениях, нацелена на банки и криптосектор, стремясь обойти санкции и получить незаконную прибыль для режима.
Оглавление
Группа Lazarus APT остается активным участником киберпреступлений
Обнаружение ObjCShellz произошло вскоре после сообщений о том, что APT (Advanced Persistent Threat) Lazarus Group использует новое вредоносное ПО для macOS под названием KANDYKORN для атак на инженеров блокчейна. Еще одно вредоносное ПО для macOS, связанное с этим злоумышленником, — это RustBucket , характеризующийся как бэкдор на основе AppleScript, предназначенный для получения полезной нагрузки второго этапа с сервера, контролируемого злоумышленником.
Эти атаки следуют схеме, когда потенциальные цели соблазняются обещанием инвестиционного совета или возможностью трудоустройства. Однако истинное намерение состоит в том, чтобы инициировать процесс заражения посредством использования документа-ловушки.
Вредоносная программа ObjCShellz проста, но эффективна
Это вредоносное ПО, получившее название ObjCShellz из-за того, что оно создано в Objective-C, служит простой удаленной оболочкой. Он выполняет команды оболочки, полученные от сервера злоумышленника.
У исследователей нет конкретной информации об официальных целях ObjCShellz. Однако, учитывая наблюдаемые атаки в 2023 году и созданное злоумышленниками доменное имя, вполне вероятно, что вредоносное ПО было использовано против компании, связанной с криптовалютной индустрией или тесно с ней связанной.
Точный метод первоначального доступа для атаки в настоящее время остается неизвестным. Есть подозрение, что вредоносное ПО поставляется в виде полезной нагрузки после эксплуатации, позволяющей вручную выполнять команды на взломанной машине. Несмотря на свою простоту, ObjCShellz оказывается очень функциональным и хорошо помогает злоумышленникам в достижении их целей.
Исследователи предупреждают, что хакерские группы, связанные с Северной Кореей, развиваются
Разоблачение ObjCShellz совпадает с трансформацией и реструктуризацией группировок, спонсируемых Северной Кореей, таких как Lazarus. Эти группы все активнее сотрудничают для обмена инструментами и тактиками, создавая размытую картину, поскольку они продолжают создавать адаптированные вредоносные программы как для Linux, так и для macOS.
Эксперты полагают, что организации, организующие кампании, такие как 3CX и JumpCloud, активно участвуют в разработке и обмене различными наборами инструментов. Это сотрудничество предполагает, что на горизонте могут появиться дополнительные кампании по распространению вредоносного ПО для macOS, состоящие из улучшенных и более оптимизированных инструментов вредоносного ПО.
