ObjCShellz Malware
Ang BlueNoroff, isang grupo ng nation-state na may kaugnayan sa North Korea, ay nauugnay na ngayon sa isang macOS malware strain na kilala bilang ObjCShellz, na dati nang hindi dokumentado. Ang banta na ito ay isang kritikal na manlalaro sa RustBucket malware campaign, na unang lumabas noong unang bahagi ng 2023.
Sinusuri ang mga nakaraang aktibidad ng BlueNoroff, naniniwala ang mga mananaliksik na gumagana ang ObjCShellz bilang isang bahagi sa huling yugto sa isang multi-stage na malware system na inihatid sa pamamagitan ng mga taktika sa social engineering. Ang BlueNoroff, na kilala rin sa iba't ibang alyas gaya ng APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima, at TA444, ay gumagana bilang isang subset ng kasumpa-sumpa na Lazarus Group . Dalubhasa sa mga krimen sa pananalapi, ang pangkat ng hacker na ito ay nagta-target sa mga bangko at sektor ng crypto, na naglalayong laktawan ang mga parusa at makabuo ng mga labag sa batas na kita para sa rehimen.
Talaan ng mga Nilalaman
Ang Lazarus APT Group ay Nananatiling Aktibong Cybercrime Threat Actor
Ang pagtuklas ng ObjCShellz ay dumating sa ilang sandali matapos ang mga ulat ng APT (Advanced Persistent Threat) Lazarus Group na gumagamit ng bagong macOS malware na pinangalanang KANDYKORN upang i-target ang mga inhinyero ng blockchain. Ang isa pang macOS malware na nauugnay sa banta ng aktor na ito ay ang RustBucket , na nailalarawan bilang isang backdoor na nakabatay sa AppleScript na idinisenyo upang kumuha ng pangalawang yugto na payload mula sa isang server na kinokontrol ng umaatake.
Ang mga pag-atakeng ito ay sumusunod sa isang pattern kung saan ang mga potensyal na target ay naengganyo ng pangako ng payo sa pamumuhunan o isang pagkakataon sa trabaho. Gayunpaman, ang tunay na layunin ay upang simulan ang proseso ng impeksyon sa pamamagitan ng paggamit ng isang dokumentong pang-decoy.
Ang ObjCShellz Malware ay Simple Ngunit Epektibo
Pinangalanang ObjCShellz dahil sa paggawa nito sa Objective-C, ang malware na ito ay nagsisilbing isang direktang remote shell. Isinasagawa nito ang mga shell command na natanggap mula sa server ng attacker.
Ang mga mananaliksik ay kulang sa tiyak na impormasyon tungkol sa mga opisyal na target ng ObjCShellz. Gayunpaman, kung isasaalang-alang ang mga naobserbahang pag-atake noong 2023 at ang domain name na ginawa ng mga umaatake, malamang na ang malware ay ginamit laban sa isang kumpanyang nauugnay sa industriya ng cryptocurrency o malapit na konektado dito.
Ang tumpak na paraan ng paunang pag-access para sa pag-atake ay nananatiling hindi alam sa kasalukuyan. May hinala na ang malware ay inihatid bilang post-exploitation payload, na nagpapagana ng manu-manong pagpapatupad ng mga command sa nakompromisong makina. Sa kabila ng pagiging simple nito, napatunayan na ang ObjCShellz ay lubos na gumagana, na nagsisilbing mahusay sa mga umaatake sa pagkamit ng kanilang mga layunin.
Nagbabala ang mga mananaliksik na ang mga pangkat ng Hacker na may kaugnayan sa North Korea ay umuusbong
Ang paghahayag tungkol sa ObjCShellz ay kasabay ng pagbabago at muling pagsasaayos ng mga grupong itinataguyod ng North Korea tulad ni Lazarus. Ang mga pangkat na ito ay lalong nagtutulungan upang makipagpalitan ng mga tool at taktika, na lumilikha ng malabong tanawin habang nagpapatuloy sila sa paggawa ng naka-customize na malware para sa parehong Linux at macOS.
Naniniwala ang mga eksperto na ang mga entity na nag-oorkestra ng mga kampanya, tulad ng 3CX at JumpCloud, ay aktibong kasangkot sa pagbuo at pagbabahagi ng magkakaibang toolset. Ang pakikipagtulungang ito ay nagmumungkahi na ang mga karagdagang macOS malware campaign na binubuo ng pinahusay at mas naka-streamline na mga tool sa malware ay maaaring nasa abot-tanaw.
