„ObjCShellz“ kenkėjiška programa, susijusi su NK Threat Actor BlueNoroff

Nacionalinės valstybės grupė „BlueNoroff“, susijusi su Šiaurės Korėja, dabar yra susijusi su neatskleista „MacOS“ kenkėjiškų programų atmaina, vadinama ObjCShellz, kaip atskleidė „Jamf Threat Labs“. Ši kenkėjiška programa yra „RustBucket“ kenkėjiškų programų kampanijos, kuri buvo pristatyta anksčiau šiais metais, dalis. Pasak saugumo tyrinėtojo Ferdouso Saljooki, ankstesnių „BlueNoroff“ atakų analizė leidžia manyti, kad ši kenkėjiška programa veikia kaip vėlyvoji daugiapakopės atakos stadija, vykdoma naudojant socialinę inžineriją.

„BlueNoroff“, taip pat žinomas slapyvardžiais APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ir TA444, veikia kaip liūdnai pagarsėjusios „Lazarus Group“ padalinys. Specializuojasi finansinių nusikaltimų srityje, „BlueNoroff“ taikosi į bankus ir kriptovaliutų sektorių, siekdama apeiti sankcijas ir generuoti režimui neteisėtą pelną.

Šis apreiškimas po to, kai Elastic Security Labs atskleidė, kad Lazarus Group naudojo naują MacOS kenkėjišką programą, pavadintą KANDYKORN, nukreipdama į blokų grandinės inžinierius. Be to, „RustBucket“, „AppleScript“ pagrindu sukurta užpakalinė durelė, susijusi su „BlueNoroff“, naudojama antrojo etapo naudingosioms apkrovoms iš užpuoliko valdomo serverio gauti.

Darbo pasiūlymai, naudojami kaip masalas infekcijos grandinėje

„BlueNoroff“ surengtos atakos apima potencialių taikinių viliojimą pažadais investuoti ar gauti darbo galimybių, užkrato grandinės inicijavimą pasitelkus apgaulės dokumentą.

Nors tyrėjams trūksta konkrečios informacijos apie taikinius, naujausios atakos ir užpuolikų naudojami domenų vardai rodo, kad dėmesys sutelkiamas į kriptovaliutų pramonės ar glaudžiai su ja susijusias įmones. Tikslus pradinis atakos prieigos vektorius lieka nežinomas, tačiau įtarimai rodo, kad kenkėjiška programa buvo pristatyta kaip naudingoji apkrova po išnaudojimo, rankiniu būdu paleidžiant komandas pažeistame kompiuteryje.