ObjCShellz-Malware im Zusammenhang mit NK Threat Actor BlueNoroff
Die mit Nordkorea in Verbindung stehende nationalstaatliche Gruppe BlueNoroff ist nun mit einem unbekannten macOS-Malware-Stamm namens ObjCShellz verbunden, wie Jamf Threat Labs enthüllte. Diese Malware ist Teil der RustBucket-Malware-Kampagne, die Anfang des Jahres vorgestellt wurde. Laut dem Sicherheitsforscher Ferdous Saljooki deutet die Analyse früherer BlueNoroff-Angriffe darauf hin, dass diese Malware als Spätstadium eines mehrstufigen Angriffs durch Social Engineering fungiert.
BlueNoroff, auch bekannt unter den Pseudonymen APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima und TA444, fungiert als untergeordnete Einheit der berüchtigten Lazarus Group. BlueNoroff ist auf Finanzkriminalität spezialisiert und nimmt Banken und den Kryptosektor ins Visier, um Sanktionen zu umgehen und illegale Gewinne für das Regime zu generieren.
Diese Enthüllung folgt auf die Offenlegung durch Elastic Security Labs über den Einsatz einer neuen macOS-Malware namens KANDYKORN durch die Lazarus Group, um Blockchain-Ingenieure ins Visier zu nehmen. Darüber hinaus wird RustBucket, eine AppleScript-basierte Hintertür im Zusammenhang mit BlueNoroff, eingesetzt, um eine Nutzlast der zweiten Stufe von einem vom Angreifer kontrollierten Server abzurufen.
Stellenangebote werden als Köder in der Infektionskette genutzt
Bei den von BlueNoroff inszenierten Angriffen geht es darum, potenzielle Ziele mit dem Versprechen von Anlageberatung oder Stellenangeboten anzulocken und die Infektionskette durch ein Täuschungsdokument einzuleiten.
Obwohl den Forschern spezifische Informationen zu den Zielen fehlen, deuten die jüngsten Angriffe und die von den Angreifern verwendeten Domänennamen darauf hin, dass der Schwerpunkt auf Unternehmen liegt, die in der Kryptowährungsbranche tätig sind oder eng mit dieser verbunden sind. Der genaue anfängliche Zugriffsvektor für den Angriff bleibt unbekannt, aber der Verdacht deutet darauf hin, dass die Malware als Post-Exploitation-Payload zum manuellen Ausführen von Befehlen auf dem kompromittierten Computer bereitgestellt wird.