Az NK Threat Actor BlueNoroffhoz kapcsolódó ObjCShellz Malware

Az Észak-Koreához kötődő BlueNoroff nemzetállami csoport most egy ismeretlen macOS malware-törzzsel, az ObjCShellz-vel áll kapcsolatban, amint azt a Jamf Threat Labs feltárta. Ez a kártevő az év elején bemutatott RustBucket malware kampány része. Ferdous Saljooki biztonsági kutató szerint a múltbéli BlueNoroff támadások elemzése azt sugallja, hogy ez a rosszindulatú program egy többlépcsős támadás késői szakaszaként működik, amelyet social engineering révén hajtanak végre.

A BlueNoroff, más néven APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima és TA444, a hírhedt Lazarus Group alárendelt egységeként működik. A pénzügyi bűncselekményekre specializálódott BlueNoroff a bankokat és a kriptoszektort célozza meg, hogy megkerülje a szankciókat, és illegális haszonra tegyen szert a rezsim számára.

Ez a feltárás azt követi, hogy az Elastic Security Labs nyilvánosságra hozta, hogy a Lazarus Group egy új, KANDYKORN nevű macOS-malware-t használt a blokklánc-mérnökök céljára. Ezenkívül a RustBucket, a BlueNoroffhoz társított AppleScript-alapú hátsó ajtó, a támadó által vezérelt szerverről egy második szakaszban lévő hasznos adat lekérésére szolgál.

Csaliként használt állásajánlatok a fertőzési láncban

A BlueNoroff által szervezett támadások a potenciális célpontok csábítását jelentik befektetési tanácsokkal vagy munkalehetőségekkel, a fertőzési lánc beindítását egy csali dokumentumon keresztül.

Bár a kutatóknak nem állnak rendelkezésre konkrét információk a célpontokról, a közelmúltban végrehajtott támadások és a támadók által használt domain nevek azt sugallják, hogy a kriptovaluta-iparban tevékenykedő vagy ahhoz szorosan kapcsolódó vállalatokra kell összpontosítani. A támadás pontos kezdeti hozzáférési vektora továbbra is ismeretlen, de a gyanúk arra utalnak, hogy a rosszindulatú program a kizsákmányolás utáni rakományként kézileg futtatható parancsok a feltört gépen.