Kuzey Kore destekli BlueNorOff tehdit grubu, güvenliği ihlal edilmiş cihazlarda uzak kabukları açabilen, ObjCShellz olarak takip edilen yeni macOS kötü amaçlı yazılımlarıyla Apple müşterilerini hedef alıyor.
BlueNorOff, dünya çapındaki risk sermayesi şirketleri ve bankalar gibi kripto para borsalarına ve finansal kuruluşlara saldırmasıyla bilinen, finansal motivasyona sahip bir bilgisayar korsanlığı grubudur.
Jamf kötü amaçlı yazılım analistleri tarafından gözlemlenen kötü amaçlı veri (etiketli) Süreç Talebi) ile iletişim kurar İsviçreborg[.]Blog31 Mayıs’ta kayıtlı ve şu adreste barındırılan, saldırganların kontrol ettiği bir alan adıdır: 104.168.214[.]151 (BlueNorOff altyapısının bir IP adresi parçası).
Bu komuta ve kontrol (C2) alanı, swissborg.com/blog adresinde bulunan meşru bir kripto para birimi borsasının web sitelerini taklit eder. Sunucuya aktarılan tüm veriler iki diziye bölünür ve statik tabanlı tespitten kaçınmak için diğer uçta birleştirilir.
Güvenlik araştırmacıları, “Bu alan adının kullanımı, Jamf Threat Labs’ın Rustbucket kampanyası olarak izlediği BlueNorOff’ta gördüğümüz etkinlikle büyük ölçüde uyumlu” dedi.
“Bu kampanyada aktör, yatırımcı veya kafa avcısı kisvesi altında ortaklık yapmakla ilgilendiğini veya onlara faydalı bir şey teklif ettiğini iddia eden bir hedefe ulaşıyor. BlueNorOff genellikle meşru bir kripto şirketine aitmiş gibi görünen bir alan adı yaratıyor. ağ etkinliğine uyum sağlamak için.”
Arka Kapılı Mac’ler
ObjCShellz, önceki BlueNorOff saldırılarında kullanılan diğer kötü amaçlı yüklerden oldukça farklı olan Objective-C tabanlı bir kötü amaçlı yazılımdır. Ayrıca, bilinmeyen bir başlangıç erişim vektörü kullanılarak düşürüldükten sonra güvenliği ihlal edilmiş macOS sistemlerinde uzak kabukları açmak üzere tasarlanmıştır.
Saldırganlar bunu, saldırı sonrası aşamada virüs bulaşmış Intel ve Arm Mac’lerde komutları yürütmek için kullandı.
Jamf, “Oldukça basit olmasına rağmen, bu kötü amaçlı yazılım hala çok işlevsel ve saldırganların hedeflerine ulaşmalarına yardımcı olacak. Bu, APT grubundan geldiğini gördüğümüz en son kötü amaçlı yazılımların teması gibi görünüyor” dedi.
“BlueNorOff tarafından gerçekleştirilen önceki saldırılara dayanarak, bu kötü amaçlı yazılımın sosyal mühendislik yoluyla sağlanan çok aşamalı bir kötü amaçlı yazılımın son aşaması olduğundan şüpheleniyoruz.”
Geçtiğimiz yıl Kaspersky, BlueNorOff korsanlarını ABD, Rusya, Çin, Hindistan, İngiltere, Ukrayna, Polonya, Çek Cumhuriyeti, BAE, Singapur, Estonya, Vietnam dahil olmak üzere dünya genelindeki kripto para birimi girişimlerini hedef alan uzun bir saldırı dizisiyle ilişkilendirdi. Malta, Almanya ve Hong Kong.
2019’da ABD Hazinesi, çalınan mali varlıkları Kuzey Kore hükümetine aktardıkları için BlueNorOff ve diğer iki Kuzey Koreli bilgisayar korsanlığı grubuna (Lazarus Group ve Andariel) yaptırım uyguladı.
Birleşmiş Milletler’in dört yıl önceki bir raporuna göre, Kuzey Kore devlet korsanları, bir düzineden fazla ülkedeki bankaları ve kripto para borsalarını hedef alan en az 35 siber saldırıda tahmini 2 milyar dolar çalmıştı.
FBI ayrıca şimdiye kadarki en büyük kripto hackini, Axie Infinity’nin Ronin ağ köprüsünü hackleyen Lazarus ve BlueNorOff hackerlarının o sırada değeri 617 milyon dolardan fazla olan 173.600 Ethereum ve 25,5 milyon USDC tokenini çaldığını belirtti.