ObjCShellz 恶意软件与 NK 威胁行为者 BlueNoroff 相关
据 Jamf 威胁实验室透露,与朝鲜有联系的民族国家组织 BlueNoroff 现在与一种名为 ObjCShellz 的未公开 macOS 恶意软件菌株有关。该恶意软件是今年早些时候公布的 RustBucket 恶意软件活动的一部分。安全研究员 Ferdous Saljooki 表示,对过去的 BlueNoroff 攻击的分析表明,该恶意软件是通过社会工程实施的多阶段攻击的后期阶段。
BlueNoroff,又名 APT38、Nickel Gladstone、Sapphire Sleet、Stardust Chollima 和 TA444,是臭名昭著的 Lazarus 集团的下属单位。 BlueNoroff 专注于金融犯罪,其目标是银行和加密行业,以规避制裁并为该政权赚取非法利润。
在此之前,Elastic Security Labs 披露了 Lazarus Group 使用名为 KANDYKORN 的新 macOS 恶意软件来针对区块链工程师。此外,RustBucket(一种与 BlueNoroff 相关的基于 AppleScript 的后门)用于从攻击者控制的服务器检索第二阶段有效负载。
工作机会被用作感染链的诱饵
BlueNoroff 精心策划的攻击包括通过承诺投资建议或就业机会来吸引潜在目标,并通过诱饵文件启动感染链。
尽管研究人员缺乏有关目标的具体信息,但最近的攻击和攻击者使用的域名表明重点关注加密货币行业或与之密切相关的公司。攻击的精确初始访问向量仍然未知,但怀疑恶意软件作为后利用有效负载进行传递,以便在受感染的计算机上手动运行命令。