Het Noord-Koreaanse BlueNoroff APT introduceert 'dumbed down' MacOS-malware

Heruitgegeven door Plato

volgers: 0

Noord-Koreaanse staatshackers hebben een nieuwe Mac-malware gelanceerd die zich richt op gebruikers in de VS en Japan en die door onderzoekers wordt omschreven als “dumped” maar effectief.

BlueNoroff is een tak van de beruchte Lazarus Group uit de DVK geld inzamelen voor het Kim-regime door zich te richten op financiële instellingen – banken, durfkapitaalbedrijven, cryptocurrency-uitwisselingen en startups – en de personen die ze gebruiken.

Sinds eerder dit jaar volgen onderzoekers van Jamf Threat Labs een BlueNoroff-campagne die zij 'RustBucket' noemen, gericht op MacOS-systemen. In een blog die dinsdag is gepubliceerdonthulden ze een nieuw kwaadaardig domein dat een crypto-uitwisseling nabootst, en een rudimentaire omgekeerde shell genaamd “ObjCShelz”, die de groep gebruikt om nieuwe doelen te compromitteren.

“We hebben de afgelopen maanden veel acties van deze groep gezien – niet alleen van ons, maar van meerdere beveiligingsbedrijven”, zegt Jaron Bradley, directeur van Jamf Threat Labs. “Het feit dat ze hun doelstellingen kunnen bereiken met behulp van deze afgezwakte malware is absoluut opmerkelijk.”

Noord-Koreaanse hackers richten zich op MacOS

De eerste rode vlag van ObjCShelz was het domein waarmee het verbonden was: swissborg[.]blog, met een adres dat griezelig veel lijkt op swissborg.com/blog, een site die wordt beheerd door de legitieme cryptocurrency-uitwisseling SwissBorg.

Dit kwam overeen met de nieuwste social engineering-tactieken van BlueNoroff. In de lopende RustBucket-campagneheeft de dreigingsacteur doelwitten benaderd onder het mom van een rekruteerder of investeerder, met aanbiedingen of mogelijkheden voor een partnerschap. Het volhouden van deze list impliceert vaak het registreren van command-and-control (C2)-domeinen die legitieme financiële websites nabootsen om op te gaan in de gewone netwerkactiviteit, legden de onderzoekers uit.

Het onderstaande voorbeeld is door het Jamf-team overgenomen van de website van een legitiem durfkapitaalfonds en door BlueNoroff gebruikt bij zijn phishing-inspanningen.

Schermafbeelding van een legitieme investeringspagina die BlueNoroff gebruikt bij phishing — Bron: Jamf

Na de eerste toegang komt het Op MacOS gebaseerde malware: een groeiende trend en recente specialiteit van BlueNoroff.

“Ze richten zich op ontwikkelaars en individuen die deze cryptocurrencies bezitten”, legt Bradley uit, en op opportunistische wijze is de groep er niet tevreden mee om zich alleen te richten op degenen die één besturingssysteem gebruiken. “Je zou achter een slachtoffer aan kunnen gaan op een Windows-computer, maar vaak zullen die gebruikers op een Mac zitten. Dus als u ervoor kiest om dat platform niet te targeten, dan kiest u mogelijk voor een zeer grote hoeveelheid cryptocurrency die kan worden gestolen.”

Vanuit technisch oogpunt is ObjCShelz echter volkomen simplistisch: een eenvoudige omgekeerde shell voor Apple-computers, die het uitvoeren van opdrachten vanaf de server van een aanvaller mogelijk maakt. (De onderzoekers vermoeden dat dit hulpmiddel wordt gebruikt in de late stadia van meerfasige aanvallen.)

Het binaire bestand werd in september één keer vanuit Japan geüpload en half oktober drie keer vanaf een in de VS gevestigd IP-adres, voegde de Jamf-onderzoekers eraan toe.

In het licht van de successen van BlueNoroff bij het stelen van cryptovaluta, dringt Bradley er bij Mac-gebruikers op aan om net zo waakzaam te blijven als hun Windows-broeders.

"Er bestaan veel misverstanden over de inherente veiligheid van Macs, en daar zit zeker een kern van waarheid in", zegt hij. “Mac is een veilig besturingssysteem. Maar als het op social engineering aankomt, is iedereen vatbaar voor het uitvoeren van iets kwaadaardigs op zijn computer.”