उत्तर कोरिया के ब्लूनोरॉफ़ एपीटी ने 'डंबड डाउन' मैकओएस मैलवेयर की शुरुआत की

प्लेटो द्वारा पुनर्प्रकाशित

अनुयायियों: 0

उत्तर कोरियाई राज्य हैकरों ने अमेरिका और जापान में उपयोगकर्ताओं को लक्षित करने वाला एक नया मैक मैलवेयर लॉन्च किया है, जिसे शोधकर्ता "बेवकूफ" लेकिन प्रभावी बताते हैं।

डीपीआरके के कुख्यात लाजर समूह की एक शाखा, ब्लूनोरॉफ़ को जाना जाता है किम शासन के लिए धन जुटाएं वित्तीय संस्थानों को लक्ष्य करके - बैंक, उद्यम पूंजी फर्म, क्रिप्टोकरेंसी एक्सचेंज और स्टार्टअप - और वे व्यक्ति जो उनका उपयोग करते हैं।

इस साल की शुरुआत से, जैम्फ थ्रेट लैब्स के शोधकर्ता MacOS सिस्टम को लक्षित करते हुए एक ब्लूनोरॉफ़ अभियान पर नज़र रख रहे हैं जिसे वे "रस्टबकेट" कहते हैं। में मंगलवार को प्रकाशित एक ब्लॉग, उन्होंने क्रिप्टो एक्सचेंज की नकल करने वाले एक नए दुर्भावनापूर्ण डोमेन और "ObjCShellz" नामक एक अल्पविकसित रिवर्स शेल का खुलासा किया, जिसका उपयोग समूह नए लक्ष्यों से समझौता करने के लिए कर रहा है।

जैम्फ थ्रेट लैब्स के निदेशक जारोन ब्रैडली कहते हैं, "हमने पिछले कुछ महीनों में इस समूह की बहुत सारी कार्रवाइयां देखी हैं - न केवल हम, बल्कि कई सुरक्षा कंपनियां।" "तथ्य यह है कि वे इस निष्क्रिय मैलवेयर का उपयोग करके अपने उद्देश्यों को पूरा करने में सक्षम हैं, निश्चित रूप से उल्लेखनीय है।"

उत्तर कोरियाई हैकर्स MacOS को निशाना बना रहे हैं

ओब्जेसीशेल्ज़ का पहला लाल झंडा वह डोमेन था जिससे यह जुड़ा था: स्विसबोर्ग[.]ब्लॉग, जिसका पता बिल्कुल swissborg.com/blog के समान है, जो कि वैध क्रिप्टोकरेंसी एक्सचेंज स्विसबॉर्ग द्वारा संचालित एक साइट है।

यह ब्लूनोरॉफ़ की नवीनतम सोशल इंजीनियरिंग रणनीति के अनुरूप था। में इसका चल रहा रस्टबकेट अभियान, धमकी देने वाला अभिनेता एक भर्तीकर्ता या निवेशक होने की आड़ में, ऑफ़र या साझेदारी की संभावना के तहत लक्ष्य तक पहुंच रहा है। शोधकर्ताओं ने बताया कि इस चाल को जारी रखने में अक्सर सामान्य नेटवर्क गतिविधि के साथ मिश्रण करने के लिए वैध वित्तीय वेबसाइटों की नकल करने वाले कमांड-एंड-कंट्रोल (सी 2) डोमेन को पंजीकृत करना शामिल होता है।

नीचे दिया गया उदाहरण Jamf टीम द्वारा एक वैध उद्यम पूंजी कोष की वेबसाइट से लिया गया था, और BlueNoroff द्वारा अपने फ़िशिंग प्रयासों में उपयोग किया गया था।

ब्लूनोरॉफ़ फ़िशिंग में उपयोग किए जाने वाले वैध निवेश पृष्ठ का स्क्रीनशॉट — स्रोत: जेम्फ

शुरुआती एक्सेस के बाद आता है इसका MacOS-आधारित मैलवेयर - एक बढ़ती प्रवृत्ति और BlueNoroff की नवीनतम विशेषता।

ब्रैडली बताते हैं, "वे उन डेवलपर्स और व्यक्तियों को लक्षित कर रहे हैं जिनके पास ये क्रिप्टोकरेंसी हैं," और, अवसरवादी अंदाज में, समूह केवल एक ऑपरेटिंग सिस्टम का उपयोग करने वालों को लक्षित करने से संतुष्ट नहीं है। “आप विंडोज़ कंप्यूटर पर किसी पीड़ित के पीछे जा सकते हैं, लेकिन कई बार वे उपयोगकर्ता मैक पर होंगे। इसलिए यदि आप उस प्लेटफ़ॉर्म को लक्षित नहीं करने का विकल्प चुनते हैं, तो आप संभावित रूप से बहुत बड़ी मात्रा में क्रिप्टोकरेंसी से बाहर निकलने का विकल्प चुन रहे हैं जो चोरी हो सकती है।

हालाँकि, तकनीकी दृष्टिकोण से, ओब्जेसीशेलज़ पूरी तरह से सरल है - Apple कंप्यूटर के लिए एक सरल रिवर्स शेल, जो एक हमलावर के सर्वर से कमांड निष्पादन को सक्षम करता है। (शोधकर्ताओं को संदेह है कि इस उपकरण का उपयोग बहु-चरणीय हमलों के अंतिम चरणों में किया जाता है।)

जेएमएफ शोधकर्ताओं ने कहा कि बाइनरी को सितंबर में जापान से एक बार और अक्टूबर के मध्य में यूएस-आधारित आईपी से तीन बार अपलोड किया गया था।

क्रिप्टो चुराने में ब्लूनोरॉफ़ की सफलताओं के आलोक में, ब्रैडली ने मैक उपयोगकर्ताओं से अपने विंडोज भाइयों की तरह सतर्क रहने का आग्रह किया है।

वे कहते हैं, "इस बारे में बहुत सी गलत समझ है कि मैक स्वाभाविक रूप से कैसे सुरक्षित हैं, और इसमें निश्चित रूप से कुछ सच्चाई है।" “मैक एक सुरक्षित ऑपरेटिंग सिस्टम है। लेकिन जब सोशल इंजीनियरिंग की बात आती है, तो कोई भी अपने कंप्यूटर पर कुछ दुर्भावनापूर्ण चीज़ चलाने के प्रति संवेदनशील होता है।"