ObjCShellz Malware
BlueNoroff, skupina národných štátov s väzbami na Severnú Kóreu, je teraz spojená s kmeňom škodlivého softvéru macOS známym ako ObjCShellz, ktorý bol predtým nezdokumentovaný. Táto hrozba je kritickým hráčom v kampani proti malvéru RustBucket, ktorá sa prvýkrát objavila začiatkom roku 2023.
Pri skúmaní minulých aktivít spoločnosti BlueNoroff sa výskumníci domnievajú, že ObjCShellz funguje ako komponent neskoršej fázy vo viacstupňovom systéme škodlivého softvéru dodávaného prostredníctvom taktiky sociálneho inžinierstva. BlueNoroff, známy aj pod rôznymi aliasmi ako APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima a TA444, pôsobí ako podskupina neslávne známej skupiny Lazarus Group . Táto hackerská skupina, ktorá sa špecializuje na finančné zločiny, sa zameriava na banky a krypto sektor s cieľom obísť sankcie a vytvárať nezákonné zisky pre režim.
Obsah
Skupina Lazarus APT zostáva aktívnym aktérom v oblasti počítačovej kriminality
Objav ObjCShellz prichádza krátko po správach o skupine APT (Advanced Persistent Threat) Lazarus Group, ktorá používa nový malvér macOS s názvom KANDYKORN na zacielenie na blockchainových inžinierov. Ďalší malvér macOS spojený s týmto aktérom hrozby je RustBucket , charakterizovaný ako zadné vrátka založené na AppleScripte, ktoré je navrhnuté tak, aby načítalo druhú fázu užitočného zaťaženia zo servera kontrolovaného útočníkom.
Tieto útoky sa riadia vzorom, keď sú potenciálne ciele lákané prísľubom investičného poradenstva alebo pracovnej príležitosti. Avšak skutočným zámerom je iniciovať proces infekcie pomocou návnadového dokumentu.
Malvér ObjCShellz je jednoduchý, ale účinný
Tento malvér dostal názov ObjCShellz, pretože bol vytvorený v Objective-C a slúži ako priamy vzdialený shell. Vykonáva príkazy shellu prijaté zo servera útočníka.
Výskumníkom chýbajú konkrétne informácie o oficiálnych cieľoch ObjCShellz. Vzhľadom na pozorované útoky v roku 2023 a názov domény vytvorenej útočníkmi je však pravdepodobné, že malvér bol použitý proti spoločnosti spojenej s kryptomenovým priemyslom alebo s ňou úzko prepojenej.
Presná metóda počiatočného prístupu k útoku zostáva v súčasnosti neznáma. Existuje podozrenie, že malvér je doručený ako užitočné zaťaženie po exploatácii, čo umožňuje manuálne vykonávanie príkazov na napadnutom počítači. Napriek svojej jednoduchosti sa ObjCShellz ukazuje ako vysoko funkčný a dobre slúži útočníkom pri dosahovaní ich cieľov.
Výskumníci varujú, že hackerské skupiny súvisiace so Severnou Kóreou sa vyvíjajú
Odhalenie týkajúce sa ObjCShellz sa zhoduje s transformáciou a reštrukturalizáciou skupín sponzorovaných Severnou Kóreou, ako je Lazarus. Tieto skupiny čoraz viac spolupracujú pri výmene nástrojov a taktík, čím vytvárajú rozmazanú krajinu, pretože pretrvávajú vo vytváraní prispôsobeného malvéru pre Linux aj macOS.
Odborníci sa domnievajú, že subjekty organizujúce kampane, ako sú 3CX a JumpCloud, sa aktívne podieľajú na vývoji a zdieľaní rôznych sád nástrojov. Táto spolupráca naznačuje, že na obzore by mohli byť ďalšie malvérové kampane pre macOS pozostávajúce z vylepšených a efektívnejších malvérových nástrojov.
