ObjCShellz Malware kopplad till NK Threat Actor BlueNoroff

Nationalstatsgruppen BlueNoroff, associerad med Nordkorea, är nu kopplad till en okänd macOS skadlig kod som heter ObjCShellz, som avslöjats av Jamf Threat Labs. Denna skadliga programvara är en del av RustBucket skadlig programvara som presenterades tidigare i år. Enligt säkerhetsforskaren Ferdous Saljooki, antyder analys av tidigare BlueNoroff-attacker att denna skadliga programvara fungerar som ett sent skede i en flerstegsattack som levereras genom social ingenjörskonst.

BlueNoroff, även känd under aliasen APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima och TA444, fungerar som en underordnad enhet till den ökända Lazarus Group. BlueNoroff är specialiserat på ekonomiska brott och riktar sig mot banker och kryptosektorn för att kringgå sanktioner och generera olaglig vinst för regimen.

Det här avslöjandet följer efter Elastic Security Labs avslöjande av Lazarus Groups användning av en ny macOS-skadlig kod som heter KANDYKORN för att rikta in sig på blockchain-ingenjörer. Dessutom används RustBucket, en AppleScript-baserad bakdörr associerad med BlueNoroff, för att hämta en nyttolast i andra steg från en server som kontrolleras av angriparen.

Jobberbjudanden som används som bete i infektionskedjan

Attackerna som orkestreras av BlueNoroff involverar att locka potentiella mål med löften om investeringsrådgivning eller jobbmöjligheter, initiera infektionskedjan genom ett lockbetedokument.

Även om forskare saknar specifik information om målen, tyder nyligen på attacker och domännamn som angriparna använder ett fokus på företag inom kryptovalutabranschen eller nära associerade med den. Den exakta initiala åtkomstvektorn för attacken är fortfarande okänd, men misstankar pekar mot leveransen av skadlig programvara som en nyttolast efter exploateringen för att manuellt köra kommandon på den komprometterade maskinen.