ОбјЦСхеллз Малваре
БлуеНорофф, група националних држава везана за Северну Кореју, сада је повезана са мацОС малвером познатим као ОбјЦСхеллз, који је раније био недокументован. Ова претња је кључни играч у кампањи РустБуцкет малвера, која се први пут појавила почетком 2023.
Испитујући прошле активности БлуеНороффа, истраживачи верују да ОбјЦСхеллз функционише као компонента у касној фази у вишестепеном систему малвера који се испоручује кроз тактику друштвеног инжењеринга. БлуеНорофф, такође познат по разним псеудонимима као што су АПТ38, Ницкел Гладстоне, Саппхире Слеет, Стардуст Цхоллима и ТА444, функционише као подскуп злогласне Лазарус групе . Специјализована за финансијске злочине, ова хакерска група циља на банке и крипто сектор, са циљем да заобиђе санкције и створи незаконит профит за режим.
Преглед садржаја
Лазарус АПТ група и даље је активни актер претње сајбер криминалом
Откриће ОбјЦСхеллз долази убрзо након извештаја о АПТ (Адванцед Персистент Тхреат) Лазарус групи која користи нови мацОС малвер под именом КАНДИКОРН за циљање блокчејн инжењера. Још један мацОС малвер повезан са овим актером претње је РустБуцкет , окарактерисан као бацкдоор заснован на АпплеСцрипт-у дизајниран за преузимање корисног оптерећења друге фазе са сервера који контролише нападач.
Ови напади прате образац у коме се потенцијалне мете привлаче обећањем савета за инвестирање или шанси за посао. Међутим, права намера је да се започне процес заразе коришћењем лажног документа.
Злонамерни софтвер ОбјЦСхеллз је једноставан, али ефикасан
Назван ОбјЦСхеллз јер је креиран у Објецтиве-Ц, овај малвер служи као једноставна удаљена шкољка. Он извршава команде љуске примљене од нападачевог сервера.
Истраживачима недостају конкретне информације у вези са званичним циљевима ОбјЦСхеллз-а. Међутим, с обзиром на нападе који су забележени 2023. године и име домена које су креирали нападачи, вероватно је да је злонамерни софтвер употребљен против компаније која је повезана са индустријом криптовалута или је уско повезана са њом.
Прецизан метод почетног приступа за напад је тренутно непознат. Постоји сумња да се малвер испоручује као корисни терет након експлоатације, што омогућава ручно извршавање команди на компромитованој машини. Упркос својој једноставности, ОбјЦСхеллз се показао као веома функционалан, добро служи нападачима у постизању њихових циљева.
Истраживачи упозоравају да се хакерске групе повезане са Северном Корејом развијају
Откриће у вези са ОбјЦСхеллз-ом поклапа се са трансформацијом и реструктурирањем група које спонзорише Северна Кореја као што је Лазарус. Ове групе све више сарађују на размени алата и тактика, стварајући замагљен пејзаж док устрају у изради прилагођеног малвера за Линук и мацОС.
Стручњаци верују да су ентитети који организују кампање, као што су 3ЦКС и ЈумпЦлоуд, активно укључени у развој и дељење различитих скупова алата. Ова сарадња сугерише да би додатне мацОС кампање против малвера које се састоје од побољшаних и поједностављених алата за малвер могли бити на хоризонту.
