Malware ObjCShellz vinculado ao ator de ameaças NK BlueNoroff

O grupo estatal BlueNoroff, associado à Coreia do Norte, está agora ligado a uma cepa de malware macOS não revelada chamada ObjCShellz, conforme revelado pelo Jamf Threat Labs. Este malware faz parte da campanha de malware RustBucket revelada no início deste ano. De acordo com o pesquisador de segurança Ferdous Saljooki, a análise de ataques anteriores do BlueNoroff sugere que esse malware funciona como um estágio final em um ataque em vários estágios realizado por meio de engenharia social.

BlueNoroff, também conhecido pelos pseudônimos APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima e TA444, opera como uma unidade subordinada do notório Grupo Lazarus. Especializada em crimes financeiros, a BlueNoroff tem como alvo os bancos e o setor criptográfico para contornar sanções e gerar lucros ilícitos para o regime.

Esta revelação segue a divulgação do Elastic Security Labs sobre o uso pelo Grupo Lazarus de um novo malware macOS chamado KANDYKORN para atingir engenheiros de blockchain. Além disso, RustBucket, um backdoor baseado em AppleScript associado ao BlueNoroff, é empregado para recuperar uma carga útil de segundo estágio de um servidor controlado pelo invasor.

Ofertas de emprego usadas como isca na cadeia de infecção

Os ataques orquestrados pela BlueNoroff envolvem atrair alvos potenciais com promessas de aconselhamento de investimento ou oportunidades de emprego, iniciando a cadeia de infecção através de um documento engodo.

Embora os pesquisadores não tenham informações específicas sobre os alvos, os ataques recentes e os nomes de domínio usados pelos invasores sugerem um foco em empresas do setor de criptomoedas ou intimamente associadas a ele. O vetor de acesso inicial preciso para o ataque permanece desconhecido, mas as suspeitas apontam para a entrega do malware como uma carga pós-exploração para executar comandos manualmente na máquina comprometida.