ObjCSellz-malware gekoppeld aan NK Threat Actor BlueNoroff
De natiestatengroep BlueNoroff, geassocieerd met Noord-Korea, is nu gekoppeld aan een niet bekendgemaakte macOS-malwaresoort genaamd ObjCSellz, zoals onthuld door Jamf Threat Labs. Deze malware maakt deel uit van de RustBucket-malwarecampagne die eerder dit jaar werd onthuld. Volgens beveiligingsonderzoeker Ferdous Saljooki suggereert het analyseren van eerdere BlueNoroff-aanvallen dat deze malware functioneert als een laat stadium in een meerfasige aanval die wordt uitgevoerd via social engineering.
BlueNoroff, ook bekend onder de aliassen APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima en TA444, opereert als een ondergeschikte eenheid van de beruchte Lazarus Group. BlueNoroff is gespecialiseerd in financiële misdaden en richt zich op banken en de cryptosector om sancties te omzeilen en illegale winsten voor het regime te genereren.
Deze onthulling volgt op de onthulling door Elastic Security Labs van het gebruik door de Lazarus Group van een nieuwe macOS-malware genaamd KANDYKORN om zich te richten op blockchain-ingenieurs. Bovendien wordt RustBucket, een op AppleScript gebaseerde achterdeur geassocieerd met BlueNoroff, gebruikt om een tweede fase-payload op te halen van een server die wordt beheerd door de aanvaller.
Vacatures worden gebruikt als aas in de infectieketen
De door BlueNoroff georkestreerde aanvallen omvatten het verleiden van potentiële doelwitten met beloften van beleggingsadvies of vacatures, waarbij de infectieketen via een lokdocument op gang wordt gebracht.
Hoewel onderzoekers specifieke informatie over de doelwitten ontberen, suggereren recente aanvallen en domeinnamen die door de aanvallers worden gebruikt een focus op bedrijven in de cryptocurrency-industrie of die er nauw mee verbonden zijn. De precieze initiële toegangsvector voor de aanval blijft onbekend, maar vermoedens wijzen erop dat de malware wordt afgeleverd als een post-exploitatielading voor het handmatig uitvoeren van opdrachten op de besmette machine.