Вредоносное ПО ObjCShellz связано с угрозой NK BlueNoroff

Национальная группа BlueNoroff, связанная с Северной Кореей, теперь связана с нераскрытым штаммом вредоносного ПО для macOS под названием ObjCShellz, как показала Jamf Threat Labs. Это вредоносное ПО является частью вредоносной кампании RustBucket, представленной ранее в этом году. По словам исследователя безопасности Фердуса Салджуки, анализ прошлых атак BlueNoroff позволяет предположить, что это вредоносное ПО функционирует как поздний этап многоэтапной атаки, осуществляемой с помощью социальной инженерии.

BlueNoroff, также известная под псевдонимами APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima и TA444, действует как подчиненное подразделение пресловутой группы Lazarus. Специализируясь на финансовых преступлениях, BlueNoroff нацелен на банки и криптосектор, чтобы обойти санкции и получить незаконную прибыль для режима.

Это разоблачение последовало за раскрытием Elastic Security Labs информации об использовании Lazarus Group нового вредоносного ПО для macOS под названием KANDYKORN для атак на инженеров блокчейна. Кроме того, RustBucket, бэкдор на основе AppleScript, связанный с BlueNoroff, используется для получения полезной нагрузки второго этапа с сервера, контролируемого злоумышленником.

Предложения о работе используются как приманка в цепочке заражения

Атаки, организованные BlueNoroff, включают в себя заманивание потенциальных целей обещаниями инвестиционных советов или возможностей трудоустройства, инициируя цепочку заражения через документ-ловушку.

Хотя исследователям не хватает конкретной информации о целях, недавние атаки и доменные имена, используемые злоумышленниками, предполагают, что они сосредоточены на компаниях, работающих в криптовалютной индустрии или тесно связанных с ней. Точный первоначальный вектор доступа для атаки остается неизвестным, но подозрения указывают на доставку вредоносного ПО в качестве полезной нагрузки после эксплуатации для ручного запуска команд на взломанной машине.