BlueNoroff APT de Corée du Nord lance un logiciel malveillant MacOS

Republié par Platon

Suiveurs: 0

Les pirates informatiques nord-coréens ont lancé un nouveau malware Mac ciblant les utilisateurs aux États-Unis et au Japon, que les chercheurs qualifient de « stupide » mais efficace.

Branche du célèbre groupe Lazarus de la RPDC, BlueNoroff est connu pour récolter des fonds pour le régime de Kim en ciblant les institutions financières – banques, sociétés de capital-risque, échanges et startups de crypto-monnaie – et les personnes qui les utilisent.

Depuis le début de l’année, les chercheurs de Jamf Threat Labs suivent une campagne BlueNoroff qu’ils appellent « RustBucket », ciblant les systèmes MacOS. Dans un blog publié mardi, ils ont révélé un nouveau domaine malveillant imitant un échange cryptographique et un shell inversé rudimentaire appelé « ObjCShellz », que le groupe utilise pour compromettre de nouvelles cibles.

« Nous avons été témoins de nombreuses actions de la part de ce groupe au cours des derniers mois – pas seulement nous, mais plusieurs sociétés de sécurité », déclare Jaron Bradley, directeur de Jamf Threat Labs. "Le fait qu'ils soient capables d'atteindre leurs objectifs en utilisant ce malware simplifié est définitivement remarquable."

Des pirates nord-coréens ciblent MacOS

Le premier signal d'alarme d'ObjCShellz était le domaine auquel il était connecté : swissborg[.]blog, avec une adresse étrangement similaire à swissborg.com/blog, un site géré par l'échange légitime de crypto-monnaie SwissBorg.

Cela était conforme aux dernières tactiques d'ingénierie sociale de BlueNoroff. Dans sa campagne RustBucket en cours, l’acteur menaçant s’adresse à ses cibles sous le couvert d’être un recruteur ou un investisseur, porteur d’offres ou d’un potentiel de partenariat. Pour poursuivre cette ruse, il faut souvent enregistrer des domaines de commande et de contrôle (C2) imitant des sites Web financiers légitimes afin de se fondre dans l'activité ordinaire du réseau, ont expliqué les chercheurs.

L'exemple ci-dessous a été capturé par l'équipe Jamf à partir du site Web d'un fonds de capital-risque légitime et utilisé par BlueNoroff dans ses efforts de phishing.

Capture d'écran d'une page d'investissement légitime que BlueNoroff utilise pour le phishing — Source : Jamf

Après l'accès initial vient son Malwares basés sur MacOS : une tendance croissante et spécialité récente de BlueNoroff.

"Ils ciblent les développeurs et les particuliers qui détiennent ces crypto-monnaies", explique Bradley, et, de manière opportuniste, le groupe ne s'est pas contenté de cibler uniquement ceux qui utilisent un seul système d'exploitation. « Vous pouvez vous attaquer à une victime sur un ordinateur Windows, mais la plupart du temps, ces utilisateurs seront sur Mac. Donc, si vous choisissez de ne pas cibler cette plate-forme, vous vous désengagerez potentiellement d’une très grande quantité de crypto-monnaie qui pourrait être volée.

D'un point de vue technique, cependant, ObjCShellz est tout à fait simpliste : un simple shell inversé pour les ordinateurs Apple, permettant l'exécution de commandes à partir du serveur d'un attaquant. (Les chercheurs soupçonnent que cet outil est utilisé aux dernières étapes d’attaques à plusieurs étapes.)

Le binaire a été téléchargé une fois depuis le Japon en septembre et trois fois depuis une adresse IP basée aux États-Unis à la mi-octobre, ont ajouté les chercheurs de Jamf.

À la lumière des succès de BlueNoroff en matière de vol de crypto, Bradley exhorte les utilisateurs de Mac à rester aussi vigilants que leurs frères Windows.

« Il existe de nombreuses idées fausses sur la sécurité intrinsèque des Mac, et il y a certainement une part de vérité là-dedans », dit-il. « Mac est un système d'exploitation sûr. Mais lorsqu'il s'agit d'ingénierie sociale, n'importe qui est susceptible d'exécuter quelque chose de malveillant sur son ordinateur.