ObjCShellz 恶意软件

BlueNoroff 是一个与朝鲜有联系的民族国家组织，现在与一种名为 ObjCShellz 的 macOS 恶意软件菌株有关联，该恶意软件此前没有记录在案。这种威胁是 RustBucket 恶意软件活动的关键参与者，该活动于 2023 年初首次出现。

通过检查 BlueNoroff 过去的活动，研究人员认为 ObjCShellz 充当通过社会工程策略交付的多阶段恶意软件系统中的后期组件。 BlueNoroff 也有各种别名，例如 APT38、Nickel Gladstone、Sapphire Sleet、Stardust Chollima 和 TA444，是臭名昭著的Lazarus Group的一个子集。该黑客组织专注于金融犯罪，以银行和加密货币行业为目标，旨在绕过制裁并为该政权赚取非法利润。

Lazarus APT 组织仍然是活跃的网络犯罪威胁参与者

ObjCShellz 的发现是在有报道称 APT（高级持续威胁）Lazarus 组织使用名为KANDYKORN的新 macOS 恶意软件来针对区块链工程师后不久发现的。与此威胁参与者相关的另一个 macOS 恶意软件是RustBucket ，其特征是基于 AppleScript 的后门，旨在从攻击者控制的服务器获取第二阶段有效负载。

这些攻击遵循的模式是，潜在目标受到投资建议或工作机会承诺的诱惑。然而，真正的目的是通过使用诱饵文档来启动感染过程。

ObjCShellz 恶意软件简单而有效

由于该恶意软件是在 Objective-C 中创建的，因此被命名为 ObjCShellz，它充当一个简单的远程 shell。它执行从攻击者服务器收到的 shell 命令。

研究人员缺乏有关 ObjCShellz 官方目标的具体信息。然而，考虑到 2023 年观察到的攻击以及攻击者创建的域名，该恶意软件很可能是针对与加密货币行业相关或密切相关的公司。

目前尚不清楚该攻击初始访问的具体方法。有人怀疑该恶意软件是作为后利用有效负载传递的，从而可以在受感染的计算机上手动执行命令。尽管 ObjCShellz 很简单，但事实证明它功能强大，可以很好地帮助攻击者实现其目标。

研究人员警告朝鲜相关黑客组织正在演变

ObjCShellz 的曝光恰逢 Lazarus 等朝鲜资助团体的转型和重组。这些团体越来越多地合作交换工具和策略，当他们坚持为 Linux 和 macOS 制作定制恶意软件时，造成了一个模糊的局面。

专家认为，3CX 和 JumpCloud 等策划活动的实体正在积极参与各种工具集的开发和共享。此次合作表明，由改进和更简化的恶意软件工具组成的其他 macOS 恶意软件活动可能即将出现。