Nordkoreas BlueNoroff APT stellt „verdummte“ MacOS-Malware vor

Neuauflage von Plato

Verfolger: 0

Nordkoreanische Staatshacker haben eine neue Mac-Malware auf den Markt gebracht, die auf Benutzer in den USA und Japan abzielt und die Forscher als „reduziert“, aber effektiv bezeichnen.

Es ist bekannt, dass BlueNoroff ein Zweig der berüchtigten Lazarus-Gruppe der DVRK ist Geld für das Kim-Regime sammeln durch gezielte Ausrichtung auf Finanzinstitute – Banken, Risikokapitalfirmen, Kryptowährungsbörsen und Startups – und die Personen, die sie nutzen.

Seit Anfang des Jahres verfolgen Forscher von Jamf Threat Labs eine BlueNoroff-Kampagne namens „RustBucket“, die auf MacOS-Systeme abzielt. In ein am Dienstag veröffentlichter BlogSie enthüllten eine neue bösartige Domäne, die einen Krypto-Austausch nachahmt, und eine rudimentäre Reverse-Shell namens „ObjCShellz“, die die Gruppe verwendet, um neue Ziele zu kompromittieren.

„Wir haben in den letzten Monaten viele Aktionen dieser Gruppe gesehen – nicht nur wir, sondern mehrere Sicherheitsunternehmen“, sagt Jaron Bradley, Direktor bei Jamf Threat Labs. „Die Tatsache, dass sie ihre Ziele mit dieser heruntergekommenen Malware erreichen können, ist auf jeden Fall bemerkenswert.“

Nordkoreanische Hacker haben es auf MacOS abgesehen

Das erste Warnsignal von ObjCShellz war die Domain, mit der es verbunden war: swissborg[.]blog, mit einer Adresse, die swissborg.com/blog unheimlich ähnlich ist, einer Website der legitimen Kryptowährungsbörse SwissBorg.

Dies stand im Einklang mit BlueNoroffs neuesten Social-Engineering-Taktiken. In seine laufende RustBucket-KampagneDer Bedrohungsakteur hat sich unter dem Vorwand, ein Personalvermittler oder Investor zu sein, mit Angeboten oder dem Potenzial für eine Partnerschaft an die Ziele gewandt. Um den Trick aufrechtzuerhalten, müssen häufig Command-and-Control-Domains (C2) registriert werden, die legitime Finanz-Websites nachahmen, um sich in die normale Netzwerkaktivität einzufügen, erklärten die Forscher.

Das folgende Beispiel wurde vom Jamf-Team von der Website eines legitimen Risikokapitalfonds erfasst und von BlueNoroff für seine Phishing-Bemühungen verwendet.

Screenshot einer legitimen Investitionsseite, die BlueNoroff für Phishing verwendet — Quelle: Jamf

Nach dem ersten Zugriff kommt es MacOS-basierte Malware – ein wachsender Trend und aktuelle Spezialität von BlueNoroff.

„Sie zielen auf Entwickler und Einzelpersonen ab, die diese Kryptowährungen besitzen“, erklärt Bradley, und in opportunistischer Manier hat sich die Gruppe nicht damit zufrieden gegeben, nur diejenigen ins Visier zu nehmen, die ein Betriebssystem verwenden. „Man könnte ein Opfer auf einem Windows-Computer verfolgen, aber oft werden diese Benutzer auf einem Mac sein. Wenn Sie sich also dafür entscheiden, diese Plattform nicht ins Visier zu nehmen, verzichten Sie möglicherweise auf eine sehr große Menge an Kryptowährung, die gestohlen werden könnte.“

Aus technischer Sicht ist ObjCShellz jedoch völlig simpel – eine einfache Reverse-Shell für Apple-Computer, die die Befehlsausführung vom Server eines Angreifers aus ermöglicht. (Die Forscher vermuten, dass dieses Tool in den späten Phasen mehrstufiger Angriffe eingesetzt wird.)

Die Binärdatei sei im September einmal aus Japan und Mitte Oktober dreimal von einer in den USA ansässigen IP hochgeladen worden, fügten die Jamf-Forscher hinzu.

Angesichts der Erfolge von BlueNoroff beim Diebstahl von Krypto fordert Bradley Mac-Benutzer dringend auf, genauso wachsam zu bleiben wie ihre Windows-Brüder.

„Es gibt viele falsche Vorstellungen darüber, dass Macs von Natur aus sicher sind, und daran ist definitiv etwas Wahres dran“, sagt er. „Mac ist ein sicheres Betriebssystem. Aber wenn es um Social Engineering geht, ist jeder anfällig dafür, etwas Schädliches auf seinem Computer auszuführen.“