Το BlueNoroff APT της Βόρειας Κορέας κάνει το ντεμπούτο του "Dumbed Down" κακόβουλο λογισμικό MacOS

Αναδημοσίευση από τον Πλάτωνα

Ακολουθούν: 0

Οι κρατικοί χάκερ της Βόρειας Κορέας έκαναν το ντεμπούτο τους σε ένα νέο κακόβουλο λογισμικό Mac που στοχεύει χρήστες στις ΗΠΑ και την Ιαπωνία, το οποίο οι ερευνητές χαρακτηρίζουν ως «χαζό» αλλά αποτελεσματικό.

Ένας βραχίονας της διαβόητης Ομάδας Lazarus της ΛΔΚ, ο BlueNoroff ήταν γνωστός συγκεντρώσει χρήματα για το καθεστώς Κιμ στοχεύοντας χρηματοπιστωτικά ιδρύματα — τράπεζες, εταιρείες επιχειρηματικών κεφαλαίων, ανταλλαγές κρυπτονομισμάτων και startups — και τα άτομα που τα χρησιμοποιούν.

Από νωρίτερα φέτος, ερευνητές από το Jamf Threat Labs παρακολουθούσαν μια καμπάνια BlueNoroff που αποκαλούν "RustBucket", στοχεύοντας συστήματα MacOS. Σε ένα ιστολόγιο που δημοσιεύτηκε την Τρίτη, αποκάλυψαν έναν νέο κακόβουλο τομέα που μιμείται μια ανταλλαγή κρυπτογράφησης και ένα στοιχειώδες αντίστροφο κέλυφος που ονομάζεται "ObjCSshellz", το οποίο η ομάδα χρησιμοποιεί για να συμβιβάσει νέους στόχους.

«Έχουμε δει πολλές ενέργειες από αυτήν την ομάδα τους τελευταίους μήνες — όχι μόνο εμείς, αλλά πολλές εταιρείες ασφαλείας», λέει ο Jaron Bradley, διευθυντής της Jamf Threat Labs. "Το γεγονός ότι είναι σε θέση να επιτύχουν τους στόχους τους χρησιμοποιώντας αυτό το ανόητο κακόβουλο λογισμικό είναι σίγουρα αξιοσημείωτο."

Βορειοκορεάτες χάκερ που στοχεύουν το MacOS

Η πρώτη κόκκινη σημαία του ObjCSshellz ήταν ο τομέας με τον οποίο συνδέθηκε: swissborg[.]blog, με διεύθυνση παράξενα παρόμοια με το swissborg.com/blog, έναν ιστότοπο που διευθύνεται από το νόμιμο ανταλλακτήριο κρυπτονομισμάτων SwissBorg.

Αυτό ήταν σύμφωνο με τις πιο πρόσφατες τακτικές κοινωνικής μηχανικής του BlueNoroff. Σε η συνεχιζόμενη καμπάνια RustBucket, ο παράγοντας της απειλής προσεγγίζει στόχους με το πρόσχημα ότι είναι υπεύθυνος προσλήψεων ή επενδυτής, φέροντας προσφορές ή δυνατότητες συνεργασίας. Η διατήρηση του τέχνασμα συχνά περιλαμβάνει την καταχώριση τομέων εντολής και ελέγχου (C2) που μιμούνται νόμιμες οικονομικές ιστοσελίδες, προκειμένου να συνδυάζονται με τη συνηθισμένη δραστηριότητα δικτύου, εξήγησαν οι ερευνητές.

Το παρακάτω παράδειγμα καταγράφηκε από την ομάδα Jamf από τον ιστότοπο ενός νόμιμου ταμείου επιχειρηματικού κεφαλαίου και χρησιμοποιήθηκε από την BlueNoroff στις προσπάθειές της για phishing.

Στιγμιότυπο οθόνης από μια νόμιμη επενδυτική σελίδα που χρησιμοποιεί το BlueNoroff στο phishing — Πηγή: Jamf

Μετά την αρχική πρόσβαση έρχεται Κακόβουλο λογισμικό που βασίζεται σε MacOS — μια αυξανόμενη τάση και πρόσφατη ειδικότητα του BlueNoroff.

«Στοχεύουν προγραμματιστές και άτομα που κατέχουν αυτά τα κρυπτονομίσματα», εξηγεί ο Bradley και, με ευκαιριακό τρόπο, η ομάδα δεν αρκέστηκε να στοχεύσει μόνο αυτούς που χρησιμοποιούν ένα λειτουργικό σύστημα. «Θα μπορούσατε να κυνηγήσετε ένα θύμα σε υπολογιστή με Windows, αλλά πολλές φορές αυτοί οι χρήστες θα είναι σε Mac. Επομένως, εάν επιλέξετε να μην στοχεύσετε αυτήν την πλατφόρμα, τότε δυνητικά θα εξαιρεθείτε από ένα πολύ μεγάλο ποσό κρυπτονομισμάτων που θα μπορούσε να κλαπεί».

Από τεχνική άποψη, ωστόσο, το ObjCSshellz είναι εντελώς απλοϊκό — ένα απλό αντίστροφο κέλυφος για υπολογιστές Apple, που επιτρέπει την εκτέλεση εντολών από τον διακομιστή του εισβολέα. (Οι ερευνητές υποπτεύονται ότι αυτό το εργαλείο χρησιμοποιείται στα τελευταία στάδια των επιθέσεων πολλαπλών σταδίων.)

Το δυαδικό αρχείο ανέβηκε μία φορά από την Ιαπωνία τον Σεπτέμβριο και τρεις φορές από μια IP με έδρα τις ΗΠΑ στα μέσα Οκτωβρίου, πρόσθεσαν οι ερευνητές του Jamf.

Υπό το πρίσμα των επιτυχιών του BlueNoroff στην κλοπή κρυπτογράφησης, ο Bradley προτρέπει τους χρήστες Mac να παραμείνουν τόσο προσεκτικοί όσο και τα αδέρφια τους στα Windows.

«Υπάρχει πολλή λανθασμένη κατανόηση για το πώς οι Mac είναι εγγενώς ασφαλείς και σίγουρα υπάρχει κάποια αλήθεια σε αυτό», λέει. «Το Mac είναι ένα ασφαλές λειτουργικό σύστημα. Αλλά όταν πρόκειται για κοινωνική μηχανική, οποιοσδήποτε μπορεί να τρέξει κάτι κακόβουλο στον υπολογιστή του».