Phần mềm độc hại ObjCShellz
BlueNoroff, một nhóm quốc gia có quan hệ với Triều Tiên, hiện có liên quan đến một chủng phần mềm độc hại macOS có tên ObjCShellz, trước đây không có giấy tờ. Mối đe dọa này đóng vai trò quan trọng trong chiến dịch phần mềm độc hại RustBucket, xuất hiện lần đầu tiên vào đầu năm 2023.
Kiểm tra các hoạt động trước đây của BlueNoroff, các nhà nghiên cứu tin rằng ObjCShellz hoạt động như một thành phần giai đoạn cuối trong hệ thống phần mềm độc hại nhiều giai đoạn được phân phối thông qua các chiến thuật lừa đảo xã hội. BlueNoroff, còn được biết đến với nhiều bí danh khác nhau như APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima và TA444, hoạt động như một tập hợp con của Tập đoàn Lazarus khét tiếng. Chuyên về tội phạm tài chính, nhóm hacker này nhắm vào các ngân hàng và lĩnh vực tiền điện tử, nhằm vượt qua các lệnh trừng phạt và tạo ra lợi nhuận bất hợp pháp cho chế độ.
Mục lục
Nhóm Lazarus APT vẫn là tác nhân đe dọa tội phạm mạng tích cực
Phát hiện của ObjCShellz xuất hiện ngay sau khi có báo cáo về Nhóm Lazarus APT (Mối đe dọa liên tục nâng cao) sử dụng phần mềm độc hại macOS mới có tên KANDYKORN để nhắm mục tiêu vào các kỹ sư blockchain. Một phần mềm độc hại macOS khác có liên quan đến tác nhân đe dọa này là RustBucket , có đặc điểm là một cửa hậu dựa trên AppleScript được thiết kế để lấy tải trọng giai đoạn hai từ máy chủ do kẻ tấn công kiểm soát.
Các cuộc tấn công này tuân theo mô hình trong đó các mục tiêu tiềm năng bị lôi kéo bằng lời hứa về lời khuyên đầu tư hoặc cơ hội việc làm. Tuy nhiên, mục đích thực sự là bắt đầu quá trình lây nhiễm thông qua việc sử dụng tài liệu mồi nhử.
Phần mềm độc hại ObjCShellz đơn giản nhưng hiệu quả
Được đặt tên là ObjCShellz do được tạo trong Objective-C, phần mềm độc hại này hoạt động như một trình bao từ xa đơn giản. Nó thực thi các lệnh shell nhận được từ máy chủ của kẻ tấn công.
Các nhà nghiên cứu thiếu thông tin cụ thể về mục tiêu chính thức của ObjCShellz. Tuy nhiên, xem xét các cuộc tấn công được quan sát vào năm 2023 và tên miền do những kẻ tấn công tạo ra, có khả năng phần mềm độc hại đã được sử dụng để chống lại một công ty có liên quan đến ngành tiền điện tử hoặc có liên kết chặt chẽ với nó.
Hiện tại, phương pháp truy cập ban đầu chính xác cho cuộc tấn công vẫn chưa được biết. Có nghi ngờ rằng phần mềm độc hại được phân phối dưới dạng tải trọng sau khi khai thác, cho phép thực thi các lệnh thủ công trên máy bị xâm nhập. Mặc dù đơn giản nhưng ObjCShellz tỏ ra có tính ứng dụng cao, phục vụ tốt cho những kẻ tấn công trong việc đạt được mục tiêu của chúng.
Các nhà nghiên cứu cảnh báo rằng các nhóm hacker liên quan đến Triều Tiên đang phát triển
Tiết lộ liên quan đến ObjCShellz trùng hợp với sự chuyển đổi và tái cơ cấu của các nhóm được Triều Tiên tài trợ như Lazarus. Các nhóm này ngày càng hợp tác để trao đổi công cụ và chiến thuật, tạo ra một bối cảnh mờ mịt khi họ kiên trì tạo ra phần mềm độc hại tùy chỉnh cho cả Linux và macOS.
Các chuyên gia tin rằng các đơn vị điều phối các chiến dịch, chẳng hạn như 3CX và JumpCloud, đang tích cực tham gia vào việc phát triển và chia sẻ các bộ công cụ đa dạng. Sự hợp tác này gợi ý rằng các chiến dịch phần mềm độc hại macOS bổ sung bao gồm các công cụ phần mềm độc hại được cải tiến và hợp lý hơn có thể sắp diễn ra.
