Шкідливе програмне забезпечення ObjCShellz
BlueNoroff, національно-державна група, пов’язана з Північною Кореєю, тепер пов’язана зі штамом зловмисного програмного забезпечення macOS, відомим як ObjCShellz, який раніше не був задокументований. Ця загроза є критичним гравцем у кампанії зловмисного програмного забезпечення RustBucket, яка вперше з’явилася на початку 2023 року.
Вивчаючи минулу діяльність BlueNoroff, дослідники вважають, що ObjCShellz функціонує як компонент останньої стадії багатоетапної системи зловмисного програмного забезпечення, створеної за допомогою тактики соціальної інженерії. BlueNoroff, також відомий під різними псевдонімами, такими як APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima та TA444, працює як підрозділ сумнозвісної Lazarus Group . Ця хакерська група, що спеціалізується на фінансових злочинах, націлена на банки та криптосектор, щоб обійти санкції та отримати незаконний прибуток для режиму.
Зміст
Lazarus APT Group залишається активним учасником загроз кіберзлочинності
Відкриття ObjCShellz з’явилося незабаром після повідомлень про те, що група Lazarus Group (Advanced Persistent Threat) використовує свіже шкідливе програмне забезпечення macOS під назвою KANDYKORN для націлювання на інженерів блокчейну. Ще одне зловмисне програмне забезпечення macOS, пов’язане з цією загрозою, — RustBucket , яке характеризується як бекдор на основі AppleScript, призначений для отримання корисного навантаження другого етапу з сервера, контрольованого зловмисником.
Ці атаки відбуваються за схемою, коли потенційні цілі заманюються обіцянкою інвестиційної поради або можливості роботи. Однак справжній намір полягає в тому, щоб ініціювати процес зараження за допомогою документа-приманки.
Шкідлива програма ObjCShellz проста, але ефективна
Це зловмисне програмне забезпечення під назвою ObjCShellz, створене в Objective-C, служить простою віддаленою оболонкою. Він виконує команди оболонки, отримані від сервера зловмисника.
Дослідникам бракує конкретної інформації щодо офіційних цілей ObjCShellz. Однак, враховуючи атаки, які спостерігалися в 2023 році, і доменне ім’я, створене зловмисниками, ймовірно, що зловмисне програмне забезпечення було використано проти компанії, пов’язаної з індустрією криптовалют або тісно пов’язаної з нею.
Точний спосіб початкового доступу для атаки наразі залишається невідомим. Існує підозра, що зловмисне програмне забезпечення доставляється як корисне навантаження після експлуатації, що дозволяє вручну виконувати команди на скомпрометованій машині. Незважаючи на свою простоту, ObjCShellz виявився дуже функціональним, добре слугуючи зловмисникам у досягненні своїх цілей.
Дослідники попереджають, що хакерські групи, пов’язані з Північною Кореєю, розвиваються
Відкриття щодо ObjCShellz збігається з трансформацією та реструктуризацією таких спонсорованих Північною Кореєю груп, як Lazarus. Ці групи все більше співпрацюють, щоб обмінюватися інструментами та тактиками, створюючи розмитий ландшафт, оскільки вони наполегливо створюють налаштоване шкідливе програмне забезпечення як для Linux, так і для macOS.
Експерти вважають, що організації, які організовують кампанії, такі як 3CX і JumpCloud, активно беруть участь у розробці та обміні різноманітними наборами інструментів. Ця співпраця свідчить про те, що на горизонті можуть з’явитися додаткові кампанії зловмисного програмного забезпечення для macOS, які складатимуться з покращених і оптимізованих інструментів шкідливого програмного забезпечення.
