BlueNoroff adlı Kuzey Kore bağlantılı ulus-devlet grubu, daha önce belgelenmemiş bir macOS kötü amaçlı yazılım türüyle ilişkilendiriliyor. ObjCShellz.
Kötü amaçlı yazılımın ayrıntılarını açıklayan Jamf Threat Labs, bu yılın başlarında ortaya çıkan RustBucket kötü amaçlı yazılım kampanyasının bir parçası olarak kullanıldığını söyledi.
Güvenlik araştırmacısı Ferdous Saljooki, The Hacker News ile paylaşılan bir raporda, “BlueNoroff tarafından gerçekleştirilen önceki saldırılara dayanarak, bu kötü amaçlı yazılımın sosyal mühendislik yoluyla iletilen çok aşamalı bir kötü amaçlı yazılımın son aşaması olduğundan şüpheleniyoruz” dedi.
APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ve TA444 isimleri altında da takip edilen BlueNoroff, mali suçlarda uzmanlaşmış, yaptırımlardan kaçmanın ve para üretmenin bir yolu olarak bankaları ve kripto sektörünü hedef alan kötü şöhretli Lazarus Grubunun alt bir unsurudur. Rejim için yasadışı kazançlar.
Gelişme, Elastic Security Labs’ın Lazarus Group’un blockchain mühendislerini hedef almak için KANDYKORN adlı yeni bir macOS kötü amaçlı yazılımını kullandığını açıklamasından günler sonra geldi.
Saldırgan tarafından kontrol edilen bir sunucudan ikinci aşama veriyi almak için tasarlanmış, AppleScript tabanlı bir arka kapı olan ve RustBucket olarak adlandırılan bir macOS kötü amaçlı yazılımı da tehdit aktörüyle bağlantılıdır.
Bu saldırılarda potansiyel hedefler, yatırım tavsiyesi veya iş teklif etme bahanesiyle kandırılıyor ve sahte bir belge aracılığıyla enfeksiyon zinciri başlatılıyor.
ObjCShellz, adından da anlaşılacağı gibi, Objective-C’de yazılmıştır ve “saldırganın sunucusundan gönderilen kabuk komutlarını yürüten çok basit bir uzak kabuk” olarak işlev görür.
Saljooki, The Hacker News’e “Resmi olarak kime karşı kullanıldığına dair ayrıntılara sahip değiliz” dedi. “Ancak bu yıl gördüğümüz saldırılar ve saldırganların oluşturduğu alanın adı göz önüne alındığında, bu alanın kripto para sektöründe çalışan veya onunla yakın çalışan bir şirkete karşı kullanılmış olması muhtemel.”
Saldırının kesin ilk erişim vektörü şu anda bilinmiyor, ancak kötü amaçlı yazılımın saldırıya uğrayan makinede komutları manuel olarak çalıştırmak için kullanım sonrası bir yük olarak dağıtıldığından şüpheleniliyor.
Saljooki, “Oldukça basit olmasına rağmen, bu kötü amaçlı yazılım hala çok işlevsel ve saldırganların hedeflerine ulaşmalarına yardımcı olacak.” dedi.
Açıklama aynı zamanda, Lazarus gibi Kuzey Kore’nin sponsor olduğu grupların, Linux ve macOS için özel kötü amaçlı yazılımlar üretmeye devam ederken bile sınırları bulanıklaştırarak araçları ve taktikleri birbirleriyle paylaşmak üzere gelişip yeniden organize oldukları bir dönemde geldi.
“Arkasındaki aktörlerin olduğuna inanılıyor [the 3CX and JumpCloud] SentinelOne güvenlik araştırmacısı Phil Stokes geçen ay yaptığı açıklamada, kampanyaların çeşitli araç setleri geliştirip paylaştığını ve daha fazla macOS kötü amaçlı yazılım kampanyasının kaçınılmaz olduğunu söyledi.