ObjCShellz Malware knyttet til NK Threat Actor BlueNoroff

Nasjonalstatsgruppen BlueNoroff, tilknyttet Nord-Korea, er nå knyttet til en ikke avslørt macOS malware-stamme kalt ObjCShellz, som avslørt av Jamf Threat Labs. Denne skadevare er en del av RustBucket-malwarekampanjen som ble avduket tidligere i år. I følge sikkerhetsforsker Ferdous Saljooki antyder analyse av tidligere BlueNoroff-angrep at denne skadevaren fungerer som et sent stadium i et flertrinnsangrep levert gjennom sosial ingeniørkunst.

BlueNoroff, også kjent under aliasene APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima og TA444, opererer som en underordnet enhet av den beryktede Lazarus Group. BlueNoroff spesialiserer seg på økonomisk kriminalitet og retter seg mot banker og kryptosektoren for å omgå sanksjoner og generere ulovlig fortjeneste for regimet.

Denne avsløringen følger Elastic Security Labs' avsløring av Lazarus Groups bruk av en ny macOS-malware kalt KANDYKORN for å målrette mot blokkjedeingeniører. I tillegg brukes RustBucket, en AppleScript-basert bakdør assosiert med BlueNoroff, for å hente en nyttelast i andre trinn fra en server kontrollert av angriperen.

Jobbtilbud brukt som agn i infeksjonskjeden

Angrepene orkestrert av BlueNoroff involverer å lokke potensielle mål med løfter om investeringsråd eller jobbmuligheter, initiere infeksjonskjeden gjennom et lokkedokument.

Selv om forskere mangler spesifikk informasjon om målene, antyder nylige angrep og domenenavn brukt av angriperne et fokus på selskaper i kryptovalutaindustrien eller nært knyttet til den. Den nøyaktige innledende tilgangsvektoren for angrepet er fortsatt ukjent, men mistanker peker mot levering av skadelig programvare som en nyttelast etter utnyttelse for manuelt å kjøre kommandoer på den kompromitterte maskinen.