Κακόβουλο λογισμικό ObjCSshellz συνδεδεμένο με τον ηθοποιό BlueNoroff της NK Threat
Η ομάδα εθνικού κράτους BlueNoroff, που σχετίζεται με τη Βόρεια Κορέα, συνδέεται τώρα με ένα άγνωστο στέλεχος κακόβουλου λογισμικού macOS που ονομάζεται ObjCSshellz, όπως αποκαλύπτεται από το Jamf Threat Labs. Αυτό το κακόβουλο λογισμικό είναι μέρος της καμπάνιας κακόβουλου λογισμικού RustBucket που παρουσιάστηκε νωρίτερα φέτος. Σύμφωνα με τον ερευνητή ασφάλειας Ferdous Saljooki, η ανάλυση προηγούμενων επιθέσεων BlueNoroff υποδηλώνει ότι αυτό το κακόβουλο λογισμικό λειτουργεί ως μεταγενέστερο στάδιο σε μια επίθεση πολλαπλών σταδίων που παρέχεται μέσω της κοινωνικής μηχανικής.
Το BlueNoroff, επίσης γνωστό με τα ψευδώνυμα APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima και TA444, λειτουργεί ως υποδεέστερη μονάδα του διαβόητου Ομίλου Lazarus. Εξειδικευμένη στα οικονομικά εγκλήματα, η BlueNoroff στοχεύει τράπεζες και τον τομέα κρυπτογράφησης για να παρακάμψει τις κυρώσεις και να δημιουργήσει παράνομα κέρδη για το καθεστώς.
Αυτή η αποκάλυψη ακολουθεί την αποκάλυψη από την Elastic Security Labs σχετικά με τη χρήση από τον Όμιλο Lazarus ενός νέου κακόβουλου λογισμικού macOS που ονομάζεται KANDYKORN για να στοχεύσει μηχανικούς blockchain. Επιπλέον, το RustBucket, μια κερκόπορτα που βασίζεται σε AppleScript που σχετίζεται με το BlueNoroff, χρησιμοποιείται για την ανάκτηση ενός ωφέλιμου φορτίου δεύτερου σταδίου από έναν διακομιστή που ελέγχεται από τον εισβολέα.
Προσφορές εργασίας που χρησιμοποιούνται ως δόλωμα στην αλυσίδα μόλυνσης
Οι επιθέσεις που ενορχηστρώθηκαν από το BlueNoroff περιλαμβάνουν την προσέλκυση πιθανών στόχων με υποσχέσεις επενδυτικών συμβουλών ή ευκαιριών εργασίας, ξεκινώντας την αλυσίδα μόλυνσης μέσω ενός εγγράφου παραπλάνησης.
Αν και οι ερευνητές δεν έχουν συγκεκριμένες πληροφορίες για τους στόχους, οι πρόσφατες επιθέσεις και τα ονόματα τομέα που χρησιμοποιήθηκαν από τους επιτιθέμενους υποδηλώνουν εστίαση σε εταιρείες στον κλάδο των κρυπτονομισμάτων ή που συνδέονται στενά με αυτήν. Το ακριβές διάνυσμα αρχικής πρόσβασης για την επίθεση παραμένει άγνωστο, αλλά οι υποψίες δείχνουν την παράδοση του κακόβουλου λογισμικού ως ωφέλιμο φορτίο μετά την εκμετάλλευση για τη μη αυτόματη εκτέλεση εντολών στο παραβιασμένο μηχάνημα.