ObjCShellz Kötü Amaçlı Yazılım
Kuzey Kore ile bağları olan bir ulus devlet grubu olan BlueNoroff, artık ObjCShellz olarak bilinen ve daha önce belgelenmemiş bir macOS kötü amaçlı yazılım türüyle ilişkilendiriliyor. Bu tehdit, ilk kez 2023'ün başlarında ortaya çıkan RustBucket kötü amaçlı yazılım kampanyasında kritik bir oyuncu.
BlueNoroff'un geçmiş faaliyetlerini inceleyen araştırmacılar, ObjCShellz'in sosyal mühendislik taktikleri yoluyla sağlanan çok aşamalı bir kötü amaçlı yazılım sisteminde son aşama bir bileşen olarak işlev gördüğüne inanıyor. APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ve TA444 gibi çeşitli takma adlarla da bilinen BlueNoroff, kötü şöhretli Lazarus Grubunun bir alt kümesi olarak faaliyet gösteriyor. Mali suçlar konusunda uzmanlaşmış bu hacker grubu, bankaları ve kripto sektörünü hedef alarak yaptırımları atlatmayı ve rejim için yasa dışı kazanç elde etmeyi amaçlıyor.
İçindekiler
Lazarus APT Grubu Aktif Siber Suç Tehdit Aktörü Olmaya Devam Ediyor
ObjCShellz'in keşfi, APT (Gelişmiş Kalıcı Tehdit) Lazarus Grubu'nun blockchain mühendislerini hedef almak için KANDYKORN adlı yeni bir macOS kötü amaçlı yazılımı kullandığına dair raporlardan kısa bir süre sonra geldi. Bu tehdit aktörüyle ilişkili bir başka macOS kötü amaçlı yazılımı, saldırgan tarafından kontrol edilen bir sunucudan ikinci aşama veriyi almak üzere tasarlanmış AppleScript tabanlı bir arka kapı olarak tanımlanan RustBucket'tir .
Bu saldırılar, potansiyel hedeflerin yatırım tavsiyesi veya iş fırsatı vaadiyle kandırıldığı bir modeli takip ediyor. Ancak asıl amaç, sahte bir belge kullanarak enfeksiyon sürecini başlatmaktır.
ObjCShellz Kötü Amaçlı Yazılımı Basit Ama Etkilidir
Objective-C'de oluşturulduğu için ObjCShellz olarak adlandırılan bu kötü amaçlı yazılım, basit bir uzak kabuk görevi görüyor. Saldırganın sunucusundan alınan kabuk komutlarını yürütür.
Araştırmacılar ObjCShellz'in resmi hedeflerine ilişkin spesifik bilgilere sahip değil. Ancak 2023 yılında gözlemlenen saldırılar ve saldırganların oluşturduğu alan adı göz önüne alındığında, kötü amaçlı yazılımın kripto para sektörüyle bağlantılı veya onunla yakından bağlantılı bir şirkete karşı kullanıldığı muhtemel.
Saldırıya yönelik ilk erişimin kesin yöntemi şu anda bilinmiyor. Kötü amaçlı yazılımın, güvenliği ihlal edilen makinede komutların manuel olarak yürütülmesine olanak tanıyan bir kullanım sonrası veri yükü olarak teslim edildiğine dair şüpheler var. Sadeliğine rağmen ObjCShellz son derece işlevsel olduğunu kanıtlıyor ve saldırganlara hedeflerine ulaşmada iyi hizmet ediyor.
Araştırmacılar Kuzey Kore Bağlantılı Hacker Gruplarının Geliştiği Konusunda Uyardı
ObjCShellz ile ilgili açıklama, Lazarus gibi Kuzey Kore'nin sponsor olduğu grupların dönüşümü ve yeniden yapılanmasıyla örtüşüyor. Bu gruplar, araç ve taktik alışverişinde bulunmak için giderek daha fazla işbirliği yapıyor ve hem Linux hem de macOS için özelleştirilmiş kötü amaçlı yazılımlar üretmeye devam ederken bulanık bir ortam yaratıyor.
Uzmanlar, 3CX ve JumpCloud gibi kampanyaları düzenleyen kuruluşların çeşitli araç setlerinin geliştirilmesi ve paylaşılmasında aktif olarak yer aldığına inanıyor. Bu işbirliği, geliştirilmiş ve daha basitleştirilmiş kötü amaçlı yazılım araçlarından oluşan ek macOS kötü amaçlı yazılım kampanyalarının ufukta görünebileceğini gösteriyor.
