Tehdit aktörünün kripto para borsalarını, risk sermayesi şirketlerini ve bankaları hedef alma geçmişi var.
Jamf Threat Labs’ın güvenlik uzmanları, BlueNoroff APT grubuna atfedilen yeni bir kötü amaçlı yazılım çeşidi keşfetti. Şirketin 7 Kasım 2023’te yayınlanan blog yazısına göre bu kampanya da BlueNoroff’un daha önceki kampanyaları gibi finansal amaçlı gibi görünüyor.
Tehdit aktörünün kripto para borsalarını, risk sermayesi şirketlerini ve bankaları hedef alma geçmişi var. BlueNoroff, Lazarus adlı daha büyük Kuzey Kore devlet destekli grubun bir alt grubudur.
Araştırmacılar, ObjCShellz adlı kötü amaçlı yazılımın RustBucket kampanyasının bir parçası olduğuna inanıyor. Benzer özellikleri nedeniyle BlueNoroff’un RustBucket kötü amaçlı yazılımının daha sonraki aşamadaki bir kötü amaçlı yazılım çeşididir.
Bilginiz olsun, daha sonraki aşamadaki kötü amaçlı yazılım, saldırganın ilk erişimi elde etmesinden sonra çalıştırılan ve veri sızdırma, ağ içinde yanal hareket veya kalıcılığı sürdürmek için kullanılan kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, rutin tehdit avı sırasında keşfedildi. Daha ileri araştırmalar, bunun, orijinal alan adının (swissborg.com) sahte bir versiyonu olduğu için şirketin daha önce kötü amaçlı olarak sınıflandırdığı bir alan adı (swissborgblog 31 Mayıs 2023’te kayıtlı) ile iletişim kuran bir Mach-O evrensel ikili programı olduğunu ortaya çıkardı. Saldırganlar bir ortam yarattı sahte kripto para borsası sitesi kullanıcıları kandırmak için bu sahte alan adında.
Kötü amaçlı yazılım geçici olarak imzalanmıştır ve tespit edilmekten kaçınmak için C2 URL’sini iki farklı dizeye bölebilir. Araştırmacıların tespit ettiği IP adresi (104.168.214151), önceki kampanyalarındaki aynı APT aktörüne de bağlıydı.
Araştırmacılar, “Eylül ve Ekim aylarında Japonya ve ABD gibi ülkelerden VirusTotal’a başvurular gözlemledik” dedi. Blog yazısı.
ObjCShellz, macOS uygulamaları için kullanılan bir programlama dili olan Objective-C ile yazılmıştır. Cihaza sızdıktan sonra C2 iletişimi kuran ve birden fazla veriyi indiren/yürüten bir macOS implantı olarak kullanılır.
ObjCShellz, gelişmiş gizleme özelliklerine sahip hafif bir kötü amaçlı yazılımdır. Basit bir uzak kabuk olarak çalışır ve C2 sunucusundan alınan kabuk komutlarını yürütür. Kötü amaçlı yazılım, sahte URL sürümüne bir POST mesajı gönderiyor ve macOS sürümünü öğrenmek için OperatingSystemVersionString dosyasını almadan önce kötü amaçlı yazılım süreci hakkında bilgi alıyor.
Araştırmacılar ilk erişimin nasıl sağlandığını belirleyemedi. Ancak bunun, Intel ve Arm Mac’lerde uzak kabuk komutlarını manuel olarak çalıştırmak için bu çok aşamalı saldırıda kullanılan daha sonraki aşamadaki bir kötü amaçlı yazılım olduğundan eminler.
Tehdit aktörü genellikle kurbanlara yatırımcı olarak ulaşıyor veya meşru bir kripto borsasına ait alanlar oluşturuyor. Bu kampanyada da saldırgan, kurbanlarla kelle avcısı veya yatırımcı olarak iletişime geçerek onlara faydalı bir şey veya ortaklık teklif ediyor. Bu kötü amaçlı yazılım, basit olmasına rağmen oldukça işlevseldir ve tehdit aktörlerinin bir dizi kötü amaçlı hedefi gerçekleştirmesine olanak tanıyabilir.
Hackread.com, macOS cihazlarına ve BlueNoroff’lara yönelik saldırılarda sürekli bir artış gözlemledi faaliyetler. Kasım ayının başlarında, Elastic Security Labs saptanmış Lazarus grubu, KandyKorn adlı yeni bir macOS kötü amaçlı yazılımını kullanarak kripto para birimi kullanıcılarını ve blockchain mühendislerini hedef alıyor.
AT&T Alien Labs araştırmacıları 2021’de bunu keşfetti Tehdit aktörleri, proxy isteklerini yeniden yönlendirmek için kötü amaçlı yazılım bulaşmış Mac’leri ve Windows cihazlarını proxy çıkış düğümleri olarak kullanıyordu. Aralık 2022’de Kaspersky araştırmacıları rapor edildi BlueNoroff’un yeni, gelişmiş kötü amaçlı yazılım türleri ve risk sermayesi firmaları ve bankalarına ait 70 sahte alan adı ile dünya çapında kripto para birimiyle ilgili finansal kuruluşları hedef aldığı belirtiliyor.
ObjCShellz kötü amaçlı yazılımlarına karşı koruma sağlamak için kuruluşların yazılım ve işletim sistemlerini yeni güvenlik açıklarına karşı yamalı tutması, ağ etkinliklerini izlemek için EDR (uç nokta algılama ve yanıt) çözümleri kullanması ve kritik sistemleri izole ederek kötü amaçlı yazılım dağıtımını sınırlamak için ağ bölümleme stratejileri kullanması gerekir.
Kaliforniya merkezli şirketinde siber güvenlik uzmanı Menlo Güvenliği tarayıcı güvenlik sağlayıcısı firma Bay Ngoc Bui, BlueNoroff APT aktörüne ilişkin bulgularını yalnızca Hackread.com ile paylaştı. Bui, 2016-2017’den bu yana faaliyet gösterdiğini ve ana hedeflerinin Avrupa ve Kuzey Amerika’daki finansal kuruluşlar olduğunu kaydetti.
“BlueNoroff, en az 2016/2017’den beri aktif olan, Kuzey Kore destekli bir gelişmiş kalıcı tehdit (APT) grubudur. Grubun Kuzey Amerika ve Avrupa’daki kripto para borsalarını, risk sermayesi şirketlerini ve bankaları hedef almasıyla tanınıyor” diyen Bui BlueNoroff’un saldırıları genellikle finansal amaçlıdır ve grubun hassas verileri çalmak için çeşitli kötü amaçlı yazılım ve teknikler kullandığı bilinmektedir. kurbanlarından para alıyor.”
Kötü amaçlı yazılımları RustBucket hakkında Bui, bu arka kapının pasla yazıldığını ve C2 ile iletişime geçmeden önce temel sistem ayrıntılarını topladığını belirtti.
“RustBucket pasla yazılmış bir arka kapıdır. Arka kapı, temel sistem bilgilerini toplar ve komut satırı aracılığıyla sağlanan URL ile iletişim kurar. Desteklenen arka kapı komutları arasında dosya yürütme ve çıkış bulunur. RustBucket, yine BlueNoroff’a atfedilen ve ilk olarak 2021’de ortaya çıkarılan bir kötü amaçlı yazılım kampanyasıdır. Verileri çalabilen ve virüslü sistemleri uzaktan kontrol edebilen arka kapı kötü amaçlı yazılımlarını hedeflere bulaştırmak için iş arayanlar gibi görünen kimlik avı e-postalarını kullanıyor” dedi Bui.
Bui, Jamf Threat Labs’ın keşfinin önemli olduğuna inanıyor çünkü aktörün kötü amaçlı yazılım türlerini sürekli olarak geliştirdiğini vurguluyor.
“Jamf Threat Labs tarafından yeni kötü amaçlı yazılım türünün keşfedilmesi önemlidir çünkü bu, BlueNoroff’un yeni ve karmaşık kötü amaçlı yazılımlar geliştirmeye devam ettiğini göstermektedir. Kötü amaçlı yazılımın yükleme sırasında VirusTotal tarafından tespit edilmemiş olması, BlueNoroff’un tespitten kaçınmak için adımlar attığını gösteriyor. Kuzey Kore için, eğer o ülkedeki farklı APT’leri ve faaliyetleri takip ediyorsanız bu büyük bir olaydır.”
Bui, ObjCShellz’in macOS kullanıcıları için büyük bir tehdit olduğunu, çünkü meşru yazılım olarak gizlendiğini ve tespit edilmesinin zor olabileceğini belirtti. Kötü amaçlı yazılım aynı zamanda kripto para birimi cüzdanları ve şifreleri gibi hassas verileri de çalabilir. Düşük tespit oranı da AV’yi geçebileceği anlamına geliyor.”
Colorado merkezli siber güvenlik danışmanlık hizmetleri sağlayıcısı Kömür ateşi‘nin başkan yardımcısı Andrew Baratt Hackread.com’a kötü amaçlı yazılımlar arasında kesin bağlantılar kurmanın zor olduğunu söyledi.
“Birçok farklı tehdit aktörü diğer kötü amaçlı yazılım kampanyalarından ödünç alıp çaldığından, ortak noktaları paylaşan kötü amaçlı yazılımlar arasında resmi bağlantılar kurmak gerçekten zor. Yasal siteleri kopyalamak, kötü niyetli bir yeteneğin C2 tarafında tespit edilmekten kaçınmak için oldukça yaygın bir taktiktir.”
“Bir süredir VirusTotal’ın (VT) yalnızca ilk gözlem süresi kadar iyi olduğunu ve kötü amaçlı yazılım yazarlarının çevrimdışı test yetenekleri geliştirmesi durumunda tespit için gereken sürenin çok daha önemli olacağını belirtiyoruz. Baratt, ayrıca potansiyel olarak yapay zeka kullanımının kötü amaçlı yazılım geliştirme sürecine de sıçradığına dair işaretlere sahibiz” dedi.
Tarihsel olarak, VT’de bir kötü amaçlı yazılım parçası için bir test çalıştırması olarak (tespit için bir geçiş olarak) kullanıldığı ve ardından kaçırma elde edilene kadar birden fazla yineleme kullanıldığı görülebilir. Kötü amaçlı yazılımın zorluğu, bunun bir zaman çerçevesi oluşturması ve artık Google’a ait olan VT’nin daha fazla analiz yapmak için bir avantaj penceresine sahip olmasıdır. Kötü amaçlı yazılımın değiştirilmesine yardımcı olmak için üretken yapay zeka kullanıyorlarsa, VT’nin yetki alanı altında oldukça yüksek derecede yeni kaçırma tekniklerinin kullanılması için gerçek bir potansiyel var,” diye açıkladı Baratt.
İLGİLİ MAKALELER
- MacStealer: macOS Catalina Cihazlarını Hedefleyen Yeni Bir Kötü Amaçlı Yazılım
- Yeni macOS kötü amaçlı yazılımı XcodeSpy’ın kurbanlara gizlice casusluk yaptığı tespit edildi
- Linux, Windows ve macOS Yeni “Simyacı” Saldırı Çerçevesinden Etkilendi
- Araştırmacılar Ünlü macOS Kötü Amaçlı Yazılımlarını Ortaya Çıkarmak İçin ChatGPT’den Yararlanıyor
- UpdateAgent kötü amaçlı yazılım çeşidi yasal macOS yazılımının kimliğine bürünüyor