ObjCShellz มัลแวร์
BlueNoroff ซึ่งเป็นกลุ่มรัฐชาติที่มีความเกี่ยวข้องกับเกาหลีเหนือ ขณะนี้มีความเกี่ยวข้องกับมัลแวร์ macOS ที่รู้จักกันในชื่อ ObjCShellz ซึ่งก่อนหน้านี้ไม่มีเอกสารบันทึกไว้ ภัยคุกคามนี้มีส่วนสำคัญในแคมเปญมัลแวร์ RustBucket ซึ่งเกิดขึ้นครั้งแรกในต้นปี 2566
จากการตรวจสอบกิจกรรมที่ผ่านมาของ BlueNoroff นักวิจัยเชื่อว่า ObjCShellz ทำหน้าที่เป็นองค์ประกอบระยะสุดท้ายในระบบมัลแวร์หลายขั้นตอนที่ส่งผ่านกลยุทธ์วิศวกรรมสังคม BlueNoroff หรือที่รู้จักกันในชื่อนามแฝงต่างๆ เช่น APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima และ TA444 ดำเนินธุรกิจโดยเป็นส่วนหนึ่งของ Lazarus Group ที่น่าอับอาย กลุ่มแฮ็กเกอร์กลุ่มนี้เชี่ยวชาญด้านอาชญากรรมทางการเงิน โดยกำหนดเป้าหมายไปที่ธนาคารและภาคการเข้ารหัสลับ โดยมีเป้าหมายเพื่อหลีกเลี่ยงการคว่ำบาตรและสร้างผลกำไรที่ผิดกฎหมายให้กับระบอบการปกครอง
สารบัญ
Lazarus APT Group ยังคงเป็นผู้ดำเนินการด้านภัยคุกคามทางไซเบอร์ที่กระตือรือร้น
การค้นพบ ObjCShellz เกิดขึ้นไม่นานหลังจากรายงานของกลุ่ม Lazarus APT (Advanced Persistent Threat) ที่ใช้มัลแวร์ macOS ใหม่ชื่อ KANDYKORN เพื่อกำหนดเป้าหมายวิศวกรบล็อคเชน มัลแวร์ macOS อีกตัวที่เกี่ยวข้องกับตัวคุกคามนี้คือ RustBucket ซึ่งมีลักษณะเป็นแบ็คดอร์ที่ใช้ AppleScript ซึ่งออกแบบมาเพื่อดึงข้อมูลเพย์โหลดขั้นที่สองจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
การโจมตีเหล่านี้เป็นไปตามรูปแบบที่เป้าหมายอาจถูกล่อลวงด้วยคำแนะนำด้านการลงทุนหรือโอกาสในการทำงาน อย่างไรก็ตาม เจตนาที่แท้จริงคือการเริ่มกระบวนการติดเชื้อผ่านการใช้เอกสารล่อ
มัลแวร์ ObjCShellz นั้นเรียบง่ายแต่มีประสิทธิภาพ
ชื่อ ObjCShellz เนื่องจากถูกสร้างขึ้นใน Objective-C มัลแวร์นี้ทำหน้าที่เป็นเชลล์ระยะไกลที่ตรงไปตรงมา มันรันคำสั่งเชลล์ที่ได้รับจากเซิร์ฟเวอร์ของผู้โจมตี
นักวิจัยขาดข้อมูลเฉพาะเกี่ยวกับเป้าหมายอย่างเป็นทางการของ ObjCShellz อย่างไรก็ตาม เมื่อพิจารณาถึงการโจมตีที่สังเกตได้ในปี 2023 และชื่อโดเมนที่สร้างขึ้นโดยผู้โจมตี มีแนวโน้มว่ามัลแวร์จะถูกนำไปใช้กับบริษัทที่เกี่ยวข้องกับอุตสาหกรรมสกุลเงินดิจิทัลหรือมีความเกี่ยวข้องอย่างใกล้ชิดกับอุตสาหกรรมดังกล่าว
วิธีการที่แม่นยำในการเข้าถึงการโจมตีเบื้องต้นยังไม่ทราบแน่ชัดในปัจจุบัน มีข้อสงสัยว่ามัลแวร์ถูกส่งมาในรูปแบบของเพย์โหลดหลังการแสวงหาผลประโยชน์ ซึ่งช่วยให้สามารถดำเนินการคำสั่งด้วยตนเองบนเครื่องที่ถูกบุกรุกได้ แม้จะมีความเรียบง่าย แต่ ObjCShellz ก็พิสูจน์แล้วว่ามีฟังก์ชั่นการใช้งานสูง โดยให้บริการผู้โจมตีได้ดีในการบรรลุวัตถุประสงค์ของพวกเขา
นักวิจัยเตือนว่ากลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับเกาหลีเหนือกำลังพัฒนา
การเปิดเผยเกี่ยวกับ ObjCShellz เกิดขึ้นพร้อมกับการเปลี่ยนแปลงและการปรับโครงสร้างของกลุ่มที่ได้รับการสนับสนุนจากเกาหลีเหนือ เช่น Lazarus กลุ่มเหล่านี้ร่วมมือกันมากขึ้นเพื่อแลกเปลี่ยนเครื่องมือและยุทธวิธี ทำให้เกิดภาพรวมที่ไม่ชัดเจนในขณะที่พวกเขายังคงสร้างมัลแวร์ที่ปรับแต่งเฉพาะสำหรับทั้ง Linux และ macOS
ผู้เชี่ยวชาญเชื่อว่าหน่วยงานที่จัดเตรียมแคมเปญ เช่น 3CX และ JumpCloud มีส่วนร่วมอย่างแข็งขันในการพัฒนาและแบ่งปันชุดเครื่องมือที่หลากหลาย การทำงานร่วมกันนี้ชี้ให้เห็นว่าแคมเปญมัลแวร์ macOS เพิ่มเติมซึ่งประกอบด้วยเครื่องมือมัลแวร์ที่ได้รับการปรับปรุงและมีความคล่องตัวมากขึ้นอาจเกิดขึ้นได้
