Jamf Threat Labs’ın güvenlik uzmanları, BlueNoroff APT grubuna atfedilen yeni bir kötü amaçlı yazılım çeşidi keşfetti. Şirketin 7 Kasım 2023’te yayınlanan blog yazısına göre bu kampanya da BlueNoroff’un daha önceki kampanyaları gibi finansal amaçlı gibi görünüyor. Tehdit aktörünün kripto para borsalarını, risk sermayesi şirketlerini ve bankaları hedef alma geçmişi var. BlueNoroff, Lazarus adlı daha büyük Kuzey Kore devlet destekli grubun bir alt grubudur.
Araştırmacılar, ObjCShellz adlı kötü amaçlı yazılımın RustBucket kampanyasının bir parçası olduğuna inanıyor. Benzer özellikleri nedeniyle BlueNoroff’un RustBucket kötü amaçlı yazılımının daha sonraki aşamadaki bir kötü amaçlı yazılım çeşididir. Bilginiz olsun, daha sonraki aşamadaki kötü amaçlı yazılım, saldırganın ilk erişimi elde etmesinden sonra çalıştırılan ve veri sızdırma, ağ içinde yanal hareket veya kalıcılığı sürdürmek için kullanılan kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, rutin tehdit avı sırasında keşfedildi. Daha ileri araştırmalar, bunun, orijinal alan adının (swissborg.com) sahte bir versiyonu olduğu için şirketin daha önce kötü amaçlı olarak sınıflandırdığı bir alan adı (swissborgblog 31 Mayıs 2023’te kayıtlı) ile iletişim kuran bir Mach-O evrensel ikili programı olduğunu ortaya çıkardı. Saldırganlar, kullanıcıları kandırmak için bu sahte alan adı üzerinde sahte bir kripto borsası web sitesi oluşturdu.
Kötü amaçlı yazılım geçici olarak imzalanmıştır ve tespit edilmekten kaçınmak için C2 URL’sini iki farklı dizeye bölebilir. Araştırmacıların tespit ettiği IP adresi (104.168.214151), önceki kampanyalarındaki aynı APT aktörüne de bağlıydı.
Araştırmacılar, “Eylül ve Ekim aylarında Japonya ve ABD gibi ülkelerden VirusTotal’a başvurular gözlemledik” dedi.
ObjCShellz, macOS uygulamaları için kullanılan bir programlama dili olan Objective-C ile yazılmıştır. Cihaza sızdıktan sonra C2 iletişimi kuran ve birden fazla veriyi indiren/yürüten bir macOS implantı olarak kullanılır. Gelişmiş gizleme özelliklerine sahip hafif bir kötü amaçlı yazılımdır. Basit bir uzak kabuk olarak çalışır ve C2 sunucusundan alınan kabuk komutlarını yürütür. Kötü amaçlı yazılım, sahte URL sürümüne bir POST mesajı gönderiyor ve macOS sürümünü öğrenmek için OperatingSystemVersionString dosyasını almadan önce kötü amaçlı yazılım süreci hakkında bilgi alıyor.
Araştırmacılar ilk erişimin nasıl sağlandığını belirleyemedi. Ancak bunun, Intel ve Arm Mac’lerde uzak kabuk komutlarını manuel olarak çalıştırmak için bu çok aşamalı saldırıda kullanılan daha sonraki aşamadaki bir kötü amaçlı yazılım olduğundan eminler.
Tehdit aktörü genellikle kurbanlara yatırımcı olarak ulaşıyor veya meşru bir kripto borsasına ait alanlar oluşturuyor. Bu kampanyada da saldırgan, kurbanlarla bir kafa avcısı, yatırımcı olarak iletişime geçerek onlara faydalı bir şey veya ortaklık teklif ediyor. Bu kötü amaçlı yazılım, basit olmasına rağmen oldukça işlevseldir ve tehdit aktörlerinin bir dizi kötü amaçlı hedefi gerçekleştirmesine olanak tanıyabilir.
Hackread.com, macOS cihazlarına ve BlueNoroff etkinliklerine yönelik saldırılarda sürekli bir artış gözlemledi. Kasım ayının başlarında, Elastic Security Labs, Lazarus grubunun KandyKorn adlı yeni bir macOS kötü amaçlı yazılımını kullandığını ve kripto para birimi kullanıcılarını ve blockchain mühendislerini hedef aldığını tespit etmişti. 2021 yılında AT&T Alien Labs araştırmacıları, tehdit aktörlerinin proxy isteklerini yeniden yönlendirmek için kötü amaçlı yazılım bulaşmış Mac’leri ve Windows cihazlarını proxy çıkış düğümleri olarak kullandığını keşfetti. Aralık 2022’de Kaspersky araştırmacıları, BlueNoroff’un yeni, gelişmiş kötü amaçlı yazılım türleri ve risk sermayesi şirketleri ile bankaların 70 sahte alanıyla dünya çapında kripto para birimiyle ilgili finansal kuruluşları hedef aldığını bildirdi.
ObjCShellz kötü amaçlı yazılımlarına karşı koruma sağlamak için kuruluşların yazılım ve işletim sistemlerini yeni güvenlik açıklarına karşı yamalı tutması, ağ etkinliklerini izlemek için EDR (uç nokta algılama ve yanıt) çözümleri kullanması ve kritik sistemleri izole ederek kötü amaçlı yazılım dağıtımını sınırlamak için ağ bölümleme stratejileri kullanması gerekir.
Kaliforniya merkezli Menlo Security tarayıcı güvenlik sağlayıcısı firmasının siber güvenlik uzmanı Bay Ngoc Bui, BlueNoroff APT aktörüne ilişkin bulgularını yalnızca Hackread.com ile paylaştı. Bui, 2016-2017’den bu yana faaliyet gösterdiğini ve ana hedeflerinin Avrupa ve Kuzey Amerika’daki finansal kuruluşlar olduğunu kaydetti.
“BlueNoroff, en az 2016/2017’den beri aktif olan, Kuzey Kore destekli bir gelişmiş kalıcı tehdit (APT) grubudur. Grubun Kuzey Amerika ve Avrupa’daki kripto para borsalarını, risk sermayesi şirketlerini ve bankaları hedef almasıyla biliniyor. BlueNoroff’un saldırıları genellikle finansal amaçlı oluyor ve grubun, kurbanlarından hassas verileri ve fonları çalmak için çeşitli kötü amaçlı yazılım ve teknikler kullandığı biliniyor.”
Kötü amaçlı yazılımları RustBucket hakkında Bui, bu arka kapının pasla yazıldığını ve C2 ile iletişime geçmeden önce temel sistem ayrıntılarını topladığını belirtti.
“RustBucket pasla yazılmış bir arka kapıdır. Arka kapı, temel sistem bilgilerini toplar ve komut satırı aracılığıyla sağlanan URL ile iletişim kurar. Desteklenen arka kapı komutları arasında dosya yürütme ve çıkış bulunur. RustBucket, yine BlueNoroff’a atfedilen ve ilk olarak 2021’de ortaya çıkarılan bir kötü amaçlı yazılım kampanyasıdır. Verileri çalabilen ve virüslü sistemleri uzaktan kontrol edebilen arka kapı kötü amaçlı yazılımlarını hedeflere bulaştırmak için iş arayanlar gibi davranan kimlik avı e-postalarını kullanıyor,” diye açıkladı Bui.
Bui, Jamf Threat Labs’ın keşfinin önemli olduğuna inanıyor çünkü aktörün kötü amaçlı yazılım türlerini sürekli olarak geliştirdiğini vurguluyor.
“Jamf Threat Labs tarafından yeni kötü amaçlı yazılım türünün keşfedilmesi önemlidir çünkü bu, BlueNoroff’un yeni ve karmaşık kötü amaçlı yazılımlar geliştirmeye devam ettiğini göstermektedir. Kötü amaçlı yazılımın yükleme sırasında VirusTotal tarafından tespit edilmemiş olması, BlueNoroff’un tespitten kaçınmak için adımlar attığını gösteriyor. Kuzey Kore için, eğer o ülkedeki farklı APT’leri ve faaliyetleri takip ediyorsanız bu büyük bir olaydır.”
Bui, ObjCShellz’in macOS kullanıcıları için büyük bir tehdit olduğunu, çünkü meşru yazılım olarak gizlendiğini ve tespit edilmesinin zor olabileceğini belirtti. Kötü amaçlı yazılım aynı zamanda kripto para birimi cüzdanları ve şifreleri gibi hassas verileri de çalabilir. Düşük tespit oranı da AV’yi geçebileceği anlamına geliyor.”
Colorado merkezli siber güvenlik danışmanlık hizmetleri sağlayıcısı Coalfire’ın başkan yardımcısı Andrew Baratt, Hackread.com’a kötü amaçlı yazılımlar arasında kesin bağlantılar kurmanın zor olduğunu söyledi.
“Birçok farklı tehdit aktörü diğer kötü amaçlı yazılım kampanyalarından ödünç alıp çaldığından, ortak noktaları paylaşan kötü amaçlı yazılımlar arasında resmi bağlantılar kurmak gerçekten zor. Yasal siteleri kopyalamak, kötü niyetli bir yeteneğin C2 tarafında tespit edilmekten kaçınmak için oldukça yaygın bir taktiktir.”
“Bir süredir VirusTotal’ın (VT) yalnızca ilk gözlem süresi kadar iyi olduğunu ve kötü amaçlı yazılım yazarlarının çevrimdışı test yetenekleri geliştirmesi durumunda tespit için gereken sürenin çok daha önemli olacağını belirtiyoruz. Ayrıca potansiyel olarak yapay zeka kullanımının kötü amaçlı yazılım geliştirmeye de yansıdığına dair işaretlere sahibiz. Tarihsel olarak, VT’de bir kötü amaçlı yazılım parçası için bir test çalıştırması olarak (tespit için bir geçiş olarak) kullanıldığı ve ardından kaçırma elde edilene kadar birden fazla yineleme kullanıldığı görülebilir. Kötü amaçlı yazılımın zorluğu, bunun bir zaman çerçevesi oluşturması ve artık Google’a ait olan VT’nin daha fazla analiz yapmak için bir avantaj penceresine sahip olmasıdır. Kötü amaçlı yazılımın değiştirilmesine yardımcı olmak için üretken yapay zeka kullanıyorlarsa, VT’nin yetki alanı altında oldukça yüksek derecede yeni kaçırma tekniklerinin kullanılması için gerçek bir potansiyel var,” dedi Baratt.