ObjCShellz Zlonamerna programska oprema
BlueNoroff, skupina nacionalnih držav, povezana s Severno Korejo, je zdaj povezana z vrsto zlonamerne programske opreme macOS, znano kot ObjCShellz, ki prej ni bila dokumentirana. Ta grožnja je ključni akter v kampanji zlonamerne programske opreme RustBucket, ki se je prvič pojavila v začetku leta 2023.
Ob preučevanju preteklih dejavnosti BlueNoroffa raziskovalci verjamejo, da ObjCShellz deluje kot komponenta v pozni fazi v večstopenjskem sistemu zlonamerne programske opreme, ki se izvaja s taktikami socialnega inženiringa. BlueNoroff, znan tudi pod različnimi vzdevki, kot so APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima in TA444, deluje kot podmnožica zloglasne skupine Lazarus Group . Ta hekerska skupina, specializirana za finančne zločine, cilja na banke in kripto sektor, da bi zaobšla sankcije in režimu ustvarila nezakonite dobičke.
Kazalo
Skupina Lazarus APT ostaja aktiven akter groženj kibernetske kriminalitete
Odkritje ObjCShellz je prišlo kmalu po poročilih o APT (Advanced Persistent Threat) skupini Lazarus, ki uporablja svežo zlonamerno programsko opremo macOS z imenom KANDYKORN za ciljanje na inženirje blockchain. Druga zlonamerna programska oprema macOS, povezana s tem povzročiteljem grožnje, je RustBucket , ki je označen kot stranska vrata, ki temeljijo na AppleScriptu in je namenjena pridobivanju koristnega tovora druge stopnje iz strežnika, ki ga nadzoruje napadalec.
Ti napadi sledijo vzorcu, kjer so potencialne tarče premamljene z obljubo naložbenega svetovanja ali zaposlitvene priložnosti. Vendar je resnični namen sprožiti proces okužbe z uporabo vabnega dokumenta.
Zlonamerna programska oprema ObjCShellz je preprosta, a učinkovita
Ta zlonamerna programska oprema, imenovana ObjCShellz, ker je bila ustvarjena v Objective-C, služi kot preprosta oddaljena lupina. Izvaja ukaze lupine, ki jih prejme od napadalčevega strežnika.
Raziskovalci nimajo posebnih informacij o uradnih ciljih ObjCShellz. Glede na opazovane napade leta 2023 in ime domene, ki so ga ustvarili napadalci, je verjetno, da je bila zlonamerna programska oprema uporabljena proti podjetju, ki je povezano z industrijo kriptovalut ali tesno povezano z njo.
Natančen način začetnega dostopa za napad trenutno ostaja neznan. Obstaja sum, da je zlonamerna programska oprema dostavljena kot koristni tovor po izkoriščanju, ki omogoča ročno izvajanje ukazov na ogroženem računalniku. Kljub svoji preprostosti se ObjCShellz izkaže za zelo funkcionalnega in napadalcem dobro služi pri doseganju njihovih ciljev.
Raziskovalci opozarjajo, da se hekerske skupine, povezane s Severno Korejo, razvijajo
Razkritje v zvezi z ObjCShellz sovpada s transformacijo in prestrukturiranjem skupin, ki jih sponzorira Severna Koreja, kot je Lazarus. Te skupine vedno bolj sodelujejo pri izmenjavi orodij in taktik ter ustvarjajo zamegljeno pokrajino, medtem ko vztrajajo pri izdelavi prilagojene zlonamerne programske opreme za Linux in macOS.
Strokovnjaki verjamejo, da so subjekti, ki orkestrirajo kampanje, kot sta 3CX in JumpCloud, dejavno vključeni v razvoj in skupno rabo različnih naborov orodij. To sodelovanje nakazuje, da bi lahko bile na obzorju dodatne kampanje zlonamerne programske opreme macOS, sestavljene iz izboljšanih in bolj poenostavljenih orodij za zlonamerno programsko opremo.
