Nordkoreanske statshackere har debutert en fersk Mac-malware rettet mot brukere i USA og Japan, som forskerne karakteriserer som «fordummet», men effektiv.
En arm av DPRKs beryktede Lazarus Group, BlueNoroff har vært kjent for samle inn penger til Kim-regimet ved å målrette mot finansinstitusjoner - banker, venturekapitalfirmaer, kryptovalutabørser og oppstarter – og personene som bruker dem.
Siden tidligere i år har forskere fra Jamf Threat Labs sporet en BlueNoroff-kampanje de kaller "RustBucket", rettet mot MacOS-systemer. I en blogg publisert på tirsdag, avslørte de et nytt ondsinnet domene som etterligner en kryptoutveksling, og et rudimentært omvendt skall kalt "ObjCShellz", som gruppen bruker for å kompromittere nye mål.
"Vi har sett mange handlinger fra denne gruppen de siste månedene - ikke bare oss, men flere sikkerhetsselskaper," sier Jaron Bradley, direktør ved Jamf Threat Labs. "Det faktum at de er i stand til å oppnå målene sine ved å bruke denne fordummede malware er definitivt bemerkelsesverdig."
Nordkoreanske hackere retter seg mot MacOS
ObjCShellz sitt første røde flagg var domenet den koblet til: swissborg[.]blog, med en adresse som er uhyggelig lik swissborg.com/blog, et nettsted som drives av den legitime kryptovalutabørsen SwissBorg.
Dette var i samsvar med BlueNoroffs siste taktikk for sosial ingeniørkunst. I sin pågående RustBucket-kampanje, har trusselaktøren nådd ut til mål under dekke av å være en rekrutterer eller investor, med tilbud eller potensial for partnerskap. Å holde på rusen innebærer ofte å registrere kommando-og-kontroll-domener (C2) som etterligner legitime finansielle nettsteder for å blande seg inn i vanlig nettverksaktivitet, forklarte forskerne.
Eksemplet nedenfor ble fanget opp av Jamf-teamet fra nettstedet til et legitimt venturekapitalfond, og brukt av BlueNoroff i sin phishing-innsats.
Etter første tilgang kommer dens MacOS-basert skadevare – en økende trend og nylig spesialitet til BlueNoroff.
"De retter seg mot utviklere og enkeltpersoner som har disse kryptovalutaene," forklarer Bradley, og på en opportunistisk måte har gruppen ikke vært fornøyd med kun å målrette mot de som bruker ett operativsystem. "Du kan gå etter et offer på en Windows-datamaskin, men mange ganger kommer disse brukerne til å være på Mac. Så hvis du velger å ikke målrette den plattformen, velger du potensielt bort en veldig stor mengde kryptovaluta som kan bli stjålet.»
Fra et teknisk synspunkt er imidlertid ObjCShellz fullstendig forenklet - et enkelt omvendt skall for Apple-datamaskiner, som muliggjør kommandoutførelse fra en angripers server. (Forskerne mistenker at dette verktøyet brukes i de sene stadiene av flertrinns angrep.)
Binærfilen ble lastet opp én gang fra Japan i september, og tre ganger fra en USA-basert IP i midten av oktober, la Jamf-forskerne til.
I lys av BlueNoroffs suksesser med å stjele krypto, oppfordrer Bradley Mac-brukere til å være like årvåkne som sine Windows-brødre.
"Det er mye falsk forståelse av hvordan Mac-maskiner er iboende trygge, og det er definitivt en viss sannhet i det," sier han. "Mac er et trygt operativsystem. Men når det kommer til sosial ingeniørkunst, er alle utsatt for å kjøre noe skadelig på datamaskinen sin.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware
- : har
- :er
- :ikke
- $OPP
- 7
- a
- I stand
- Om oss
- adgang
- utrette
- handlinger
- aktivitet
- la til
- adresse
- Etter
- beløp
- an
- og
- noen
- eple
- APT
- ER
- ARM
- AS
- At
- Angrep
- Banker
- BE
- vært
- være
- under
- Blend
- Blogg
- men
- by
- ring
- som heter
- Kampanje
- hovedstad
- fanget
- karakter
- kommer
- Selskaper
- kompromiss
- datamaskin
- datamaskiner
- tilkoblet
- konsistent
- innhold
- kunne
- krypto
- krypto utveksling
- cryptocurrencies
- cryptocurrency
- Cryptocurrency Exchange
- debuterte
- Debuterer
- helt sikkert
- utviklere
- Regissør
- domene
- domener
- ned
- DPRK
- Tidligere
- skummelt
- Effektiv
- innsats
- muliggjør
- Ingeniørarbeid
- eksempel
- utveksling
- Børser
- gjennomføring
- forklarte
- forklarer
- Faktisk
- falsk
- Mote
- Noen få
- finansiell
- Finansinstitusjoner
- bedrifter
- Først
- Til
- fersk
- fra
- fond
- Go
- skal
- Gruppe
- Økende
- måte
- hackere
- Ha
- he
- holder
- Hvordan
- Men
- HTTPS
- if
- in
- individer
- iboende
- innledende
- institusjoner
- investering
- investor
- IP
- IT
- DET ER
- Japan
- bare
- holde
- Kim
- kjent
- korea
- Koreansk
- Labs
- stor
- Late
- siste
- Lazarus
- Lazarus-gruppen
- legitim
- lett
- Lot
- mac
- MacOS
- malware
- penger
- måneder
- flere
- nettverk
- Ny
- nord
- Nord-Korea
- bemerkelsesverdig
- notorisk
- mål
- of
- Tilbud
- ofte
- on
- gang
- ONE
- pågående
- bare
- drift
- operativsystem
- or
- rekkefølge
- vanlig
- ut
- enn
- side
- Partnerskap
- Past
- phishing
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- potensiell
- potensielt
- publisert
- RE
- nå
- nylig
- Rød
- registrering
- forskere
- Avslørt
- reversere
- Kjør
- rennende
- s
- trygge
- sier
- sikkerhet
- sett
- September
- server
- Shell
- lignende
- Enkelt
- nettstedet
- So
- selskap
- Sosialteknikk
- noen
- noe
- Spesialitet
- stadier
- ståsted
- Tilstand
- opphold
- stjålet
- utsatt
- Swissborg
- system
- Systemer
- taktikk
- Target
- rettet mot
- mål
- lag
- Teknisk
- Det
- De
- deres
- Dem
- deretter
- Der.
- Disse
- de
- denne
- dette året
- De
- trussel
- tre
- ganger
- til
- verktøy
- Sporing
- Sannhet
- etter
- forståelse
- lastet opp
- oppfordrer
- us
- bruke
- brukt
- Brukere
- bruker
- ved hjelp av
- Ve
- venture-
- venture kapital
- venturekapitalfirmaer
- veldig
- Offer
- var
- we
- Nettsted
- nettsteder
- når
- hvilken
- HVEM
- vinduer
- med
- år
- Du
- zephyrnet
