ObjCShellz Malware knyttet til NK Threat Actor BlueNoroff

Nationalstatsgruppen BlueNoroff, der er forbundet med Nordkorea, er nu forbundet med en ikke offentliggjort macOS malware-stamme kaldet ObjCShellz, som afsløret af Jamf Threat Labs. Denne malware er en del af RustBucket malware-kampagnen, der blev afsløret tidligere i år. Ifølge sikkerhedsforsker Ferdous Saljooki tyder en analyse af tidligere BlueNoroff-angreb på, at denne malware fungerer som et sent trin i et flertrinsangreb leveret gennem social engineering.

BlueNoroff, også kendt under aliaserne APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima og TA444, fungerer som en underordnet enhed af den berygtede Lazarus Group. BlueNoroff er specialiseret i økonomisk kriminalitet og retter sig mod banker og kryptosektoren for at omgå sanktioner og generere ulovlig fortjeneste til regimet.

Denne afsløring følger Elastic Security Labs' afsløring af Lazarus Groups brug af en ny macOS-malware kaldet KANDYKORN til at målrette mod blockchain-ingeniører. Derudover bruges RustBucket, en AppleScript-baseret bagdør forbundet med BlueNoroff, til at hente en anden-trins nyttelast fra en server styret af angriberen.

Jobtilbud brugt som lokkemad i infektionskæden

Angrebene orkestreret af BlueNoroff involverer at lokke potentielle mål med løfter om investeringsrådgivning eller jobmuligheder, initiere infektionskæden gennem et lokkedokument.

Selvom forskere mangler specifik information om målene, tyder nylige angreb og domænenavne, som angriberne har brugt, på fokus på virksomheder i kryptovalutaindustrien eller tæt forbundet med den. Den præcise indledende adgangsvektor for angrebet er stadig ukendt, men mistanker peger på leveringen af malwaren som en post-udnyttelse nyttelast for manuelt at køre kommandoer på den kompromitterede maskine.