BlueNoroff APT של צפון קוריאה מציגה לראשונה 'דום למטה' macOS Malware

האקרים ממדינות צפון קוריאה הציגו לראשונה תוכנת זדונית חדשה של Mac המכוונת למשתמשים בארה"ב וביפן, שחוקרים מגדירים אותה כ"מטומטמת" אך יעילה.

זרוע של קבוצת לזרוס הידועה לשמצה של רפובליקת הדמוקרטים, BlueNoroff, הייתה ידועה לגייס כסף עבור משטר קים על ידי מיקוד למוסדות פיננסיים - בנקים, חברות הון סיכון, בורסות וחברות סטארט-אפ של מטבעות קריפטוגרפיים - והאנשים שמשתמשים בהם.

מאז מוקדם יותר השנה, חוקרים ממעבדות האיום של Jamf עוקבים אחר קמפיין BlueNoroff שהם מכנים "RustBucket", המתמקד במערכות MacOS. ב בלוג שפורסם ביום שלישי, הם חשפו תחום זדוני חדש המחקה חילופי קריפטו, וקליפה הפוכה ראשונית בשם "ObjCShellz", שבה משתמשת הקבוצה כדי להתפשר על יעדים חדשים.

"ראינו הרבה פעולות מהקבוצה הזו במהלך החודשים האחרונים - לא רק אנחנו, אלא מספר חברות אבטחה", אומר ג'רון בראדלי, מנהל במעבדות ה-Jamf Threat. "העובדה שהם מסוגלים להשיג את המטרות שלהם באמצעות תוכנה זדונית מטומטמת זו בהחלט בולטת."

האקרים צפון קוריאנים מכוונים ל-MacOS

הדגל האדום הראשון של ObjCShellz היה הדומיין שאליו הוא התחבר: swissborg[.]blog, עם כתובת דומה להחריד ל-swissborg.com/blog, אתר המנוהל על ידי בורסת המטבעות הקריפטוגרפיים הלגיטימית SwissBorg.

זה היה עקבי עם הטקטיקות האחרונות של BlueNoroff של הנדסה חברתית. ב קמפיין RustBucket המתמשך שלה, שחקן האיום פנה ליעדים במסווה של גיוס או משקיע, נושא הצעות או פוטנציאל לשותפות. שמירה על התחבולה כרוכה לעתים קרובות ברישום דומיינים של פיקוד ושליטה (C2) המחקים אתרים פיננסיים לגיטימיים כדי להשתלב עם פעילות רשת רגילה, הסבירו החוקרים.

הדוגמה שלהלן נלכדה על ידי צוות Jamf מאתר האינטרנט של קרן הון סיכון לגיטימית, ושימשה את BlueNoroff במאמצי הדיוג שלה.

לאחר גישה ראשונית מגיעה שלה תוכנות זדוניות מבוססות MacOS - מגמה גוברת והתמחות אחרונה של BlueNoroff.

"הם מכוונים למפתחים ולאנשים שמחזיקים במטבעות הקריפטו האלה", מסביר בראדלי, ובאופן אופורטוניסטי, הקבוצה לא הסתפקה במיקוד רק לאלה המשתמשים במערכת הפעלה אחת. "אתה יכול לרדוף אחרי קורבן במחשב Windows, אבל הרבה פעמים המשתמשים האלה הולכים להיות על Mac. אז אם אתה בוחר לא למקד לפלטפורמה הזו, אתה עלול לבטל את הסכמתך לכמות גדולה מאוד של מטבעות קריפטוגרפיים שעלולים להיגנב".

מנקודת מבט טכנית, עם זאת, ObjCShellz הוא פשטני לחלוטין - מעטפת הפוכה פשוטה עבור מחשבי אפל, המאפשרת ביצוע פקודות משרת של תוקף. (החוקרים חושדים שהכלי הזה משמש בשלבים המאוחרים של התקפות רב-שלביות).

הקובץ הבינארי הועלה פעם אחת מיפן בספטמבר, ושלוש פעמים מ-IP מבוסס ארה"ב באמצע אוקטובר, הוסיפו חוקרי Jamf.

לאור ההצלחות של BlueNoroff בגניבת קריפטו, בראדלי קורא למשתמשי Mac להישאר ערניים כמו אחיהם ל-Windows.

"יש הרבה הבנה כוזבת לגבי האופן שבו מחשבי Mac בטוחים מטבעם, ובהחלט יש בזה איזושהי אמת", הוא אומר. "Mac היא מערכת הפעלה בטוחה. אבל כשזה מגיע להנדסה חברתית, כל אחד חשוף להפעיל משהו זדוני במחשב שלו."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware