ObjCShellz skadlig programvara
BlueNoroff, en nationalstatsgrupp med kopplingar till Nordkorea, är nu associerad med en macOS skadlig kod känd som ObjCShellz, som tidigare var odokumenterad. Detta hot är en viktig aktör i RustBuckets malwarekampanj, som först dök upp i början av 2023.
Genom att undersöka BlueNoroffs tidigare aktiviteter, tror forskare att ObjCShellz fungerar som en komponent i sent skede i ett flerstegssystem för skadlig programvara som levereras genom social ingenjörsteknik. BlueNoroff, även känd under olika alias som APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima och TA444, fungerar som en delmängd av den ökända Lazarus Group . Den här hackergruppen är specialiserad på ekonomiska brott och riktar sig mot banker och kryptosektorn, i syfte att kringgå sanktioner och generera olagliga vinster för regimen.
Innehållsförteckning
Lazarus APT Group förblir en aktiv aktör för hot mot cyberbrott
Upptäckten av ObjCShellz kommer strax efter rapporter om att APT (Advanced Persistent Threat) Lazarus Group använder en ny macOS-skadlig kod vid namn KANDYKORN för att rikta in sig på blockchain-ingenjörer. En annan macOS-skadlig kod som är associerad med denna hotaktör är RustBucket , kännetecknad som en AppleScript-baserad bakdörr utformad för att hämta en nyttolast i andra steg från en server som kontrolleras av angriparen.
Dessa attacker följer ett mönster där potentiella mål lockas med löfte om investeringsrådgivning eller en jobbmöjlighet. Men den sanna avsikten är att initiera infektionsprocessen genom att använda ett lockbetedokument.
ObjCShellz Malware är enkel men ändå effektiv
Denna skadliga programvara heter ObjCShellz på grund av att den skapas i Objective-C och fungerar som ett enkelt fjärrskal. Den kör skalkommandon som tas emot från angriparens server.
Forskarna saknar specifik information om de officiella målen för ObjCShellz. Men med tanke på de observerade attackerna 2023 och domännamnet som skapats av angriparna, är det troligt att skadlig programvara användes mot ett företag som är associerat med kryptovalutaindustrin eller nära kopplat till det.
Den exakta metoden för initial åtkomst för attacken är för närvarande okänd. Det finns misstankar om att skadlig programvara levereras som en nyttolast efter exploatering, vilket möjliggör manuell exekvering av kommandon på den komprometterade maskinen. Trots sin enkelhet visar sig ObjCShellz vara mycket funktionell och tjänar angriparna väl i att uppnå sina mål.
Forskare varnar för att Nordkorea-relaterade hackergrupper utvecklas
Avslöjandet om ObjCShellz sammanfaller med omvandlingen och omstruktureringen av Nordkorea-sponsrade grupper som Lazarus. Dessa grupper samarbetar allt mer för att utbyta verktyg och taktik, vilket skapar ett suddigt landskap när de fortsätter att skapa anpassad skadlig programvara för både Linux och macOS.
Experter tror att de enheter som orkestrerar kampanjer, som 3CX och JumpCloud, är aktivt involverade i utvecklingen och delingen av olika verktygsuppsättningar. Detta samarbete tyder på att ytterligare macOS skadlig programvara som består av förbättrade och mer strömlinjeformade verktyg för skadlig programvara kan vara vid horisonten.
