L'APT BlueNoroff della Corea del Nord debutta con un malware MacOS "sminuito".

Ripubblicato da Platone

Seguaci: 0

Gli hacker statali nordcoreani hanno lanciato un nuovo malware per Mac destinato agli utenti negli Stati Uniti e in Giappone, che i ricercatori definiscono “stupido” ma efficace.

BlueNoroff è un ramo del famigerato gruppo Lazarus della RPDC raccogliere fondi per il regime di Kim prendendo di mira le istituzioni finanziarie: banche, società di venture capital, scambi di criptovaluta e startup – e le persone che li utilizzano.

Dall’inizio di quest’anno, i ricercatori di Jamf Threat Labs hanno monitorato una campagna BlueNoroff chiamata “RustBucket”, rivolta ai sistemi MacOS. In un blog pubblicato martedì, hanno rivelato un nuovo dominio dannoso che imita uno scambio di criptovalute e una rudimentale shell inversa chiamata "ObjCShellz", che il gruppo sta utilizzando per compromettere nuovi obiettivi.

"Abbiamo assistito a molte azioni da parte di questo gruppo negli ultimi mesi: non solo noi, ma diverse società di sicurezza", afferma Jaron Bradley, direttore di Jamf Threat Labs. "Il fatto che siano in grado di raggiungere i propri obiettivi utilizzando questo malware banale è decisamente degno di nota."

Hacker nordcoreani prendono di mira MacOS

La prima bandiera rossa di ObjCShellz è stato il dominio a cui si collegava: swissborg[.]blog, con un indirizzo stranamente simile a swissborg.com/blog, un sito gestito dal legittimo scambio di criptovaluta SwissBorg.

Ciò era coerente con le ultime tattiche di ingegneria sociale di BlueNoroff. In la sua campagna RustBucket in corso, l'autore della minaccia ha raggiunto obiettivi con il pretesto di essere un reclutatore o un investitore, portando offerte o il potenziale per una partnership. Mantenere lo stratagemma spesso comporta la registrazione di domini di comando e controllo (C2) che imitano i siti Web finanziari legittimi per fondersi con la normale attività di rete, hanno spiegato i ricercatori.

L'esempio seguente è stato catturato dal team Jamf dal sito web di un legittimo fondo di venture capital e utilizzato da BlueNoroff nelle sue attività di phishing.

Schermata di una pagina di investimento legittima utilizzata da BlueNoroff nel phishing — Fonte: Jamf

Dopo l'accesso iniziale arriva il suo Malware basato su MacOS: una tendenza in crescita e recente specialità di BlueNoroff.

"Stanno prendendo di mira gli sviluppatori e gli individui che detengono queste criptovalute", spiega Bradley, e, in modo opportunistico, il gruppo non si è accontentato di prendere di mira solo coloro che utilizzano un sistema operativo. “Potresti inseguire una vittima su un computer Windows, ma molte volte quegli utenti si troveranno su Mac. Quindi, se scegli di non prendere di mira quella piattaforma, stai potenzialmente rinunciando a una grande quantità di criptovaluta che potrebbe essere rubata."

Da un punto di vista tecnico, tuttavia, ObjCShellz è assolutamente semplicistico: una semplice shell inversa per i computer Apple, che consente l'esecuzione di comandi dal server di un utente malintenzionato. (I ricercatori sospettano che questo strumento venga utilizzato nelle fasi finali degli attacchi a più fasi.)

Il codice binario è stato caricato una volta dal Giappone a settembre e tre volte da un IP con sede negli Stati Uniti a metà ottobre, hanno aggiunto i ricercatori di Jamf.

Alla luce dei successi di BlueNoroff nel furto di criptovalute, Bradley esorta gli utenti Mac a rimanere vigili quanto i loro fratelli Windows.

"C'è molta falsa comprensione su come i Mac siano intrinsecamente sicuri, e c'è sicuramente del vero in questo", dice. “Il Mac è un sistema operativo sicuro. Ma quando si tratta di ingegneria sociale, chiunque è suscettibile di eseguire qualcosa di dannoso sul proprio computer."