Malware ObjCShellz collegato all'attore della minaccia NK BlueNoroff
Il gruppo-stato-nazione BlueNoroff, associato alla Corea del Nord, è ora collegato a un ceppo di malware macOS non divulgato chiamato ObjCShellz, come rivelato da Jamf Threat Labs. Questo malware fa parte della campagna malware RustBucket svelata all'inizio di quest'anno. Secondo il ricercatore di sicurezza Ferdous Saljooki, l’analisi degli attacchi BlueNoroff passati suggerisce che questo malware funziona come una fase avanzata di un attacco a più fasi sferrato attraverso l’ingegneria sociale.
BlueNoroff, conosciuto anche con gli alias APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima e TA444, opera come unità subordinata del famigerato Lazarus Group. Specializzato in crimini finanziari, BlueNoroff prende di mira le banche e il settore delle criptovalute per eludere le sanzioni e generare profitti illeciti per il regime.
Questa rivelazione fa seguito alla divulgazione da parte di Elastic Security Labs dell'utilizzo da parte del Lazarus Group di un nuovo malware macOS chiamato KANDYKORN per prendere di mira gli ingegneri blockchain. Inoltre, RustBucket, una backdoor basata su AppleScript associata a BlueNoroff, viene utilizzata per recuperare un payload di seconda fase da un server controllato dall'aggressore.
Offerte di lavoro usate come esca nella catena dell’infezione
Gli attacchi orchestrati da BlueNoroff mirano ad attirare potenziali obiettivi con promesse di consulenza in materia di investimenti o opportunità di lavoro, avviando la catena di infezione attraverso un documento esca.
Sebbene i ricercatori non dispongano di informazioni specifiche sugli obiettivi, i recenti attacchi e i nomi di dominio utilizzati dagli aggressori suggeriscono che l'attenzione si concentrerà sulle aziende del settore delle criptovalute o ad esso strettamente associate. L’esatto vettore di accesso iniziale dell’attacco rimane sconosciuto, ma i sospetti puntano alla consegna del malware come carico utile post-sfruttamento per l’esecuzione manuale di comandi sulla macchina compromessa.