North Korean state hackers have debuted a fresh Mac malware targeting users in the US and Japan, which researchers characterize as “dumbed down” but effective.
An arm of the DPRK’s notorious Lazarus Group, BlueNoroff has been known to raise money for the Kim regime by targeting financial institutions — banks, venture capital firms, cryptocurrency exchanges and startups — and the individuals who use them.
Since earlier this year, researchers from Jamf Threat Labs have been tracking a BlueNoroff campaign they call “RustBucket,” targeting MacOS systems. In a blog published on Tuesday, they revealed a new malicious domain mimicking a crypto exchange, and a rudimentary reverse shell called “ObjCShellz,” which the group is using to compromise new targets.
“We’ve seen a lot of actions from this group over the past few months — not just us, but multiple security companies,” says Jaron Bradley, director at Jamf Threat Labs. “The fact that they are able to accomplish their objectives using this dumbed down malware is definitely notable.”
North Korean Hackers Targeting MacOS
ObjCShellz’s first red flag was the domain it connected to: swissborg[.]blog, with an address eerily similar to swissborg.com/blog, a site run by the legitimate cryptocurrency exchange SwissBorg.
This was consistent with BlueNoroff’s latest social engineering tactics. In its ongoing RustBucket campaign, the threat actor has been reaching out to targets under the guise of being a recruiter or investor, bearing offers or the potential for partnership. Keeping up the ruse often involves registering command-and-control (C2) domains mimicking legitimate financial websites in order to blend in with ordinary network activity, the researchers explained.
The example below was captured by the Jamf team from the website of a legitimate venture capital fund, and used by BlueNoroff in its phishing efforts.
After initial access comes its MacOS-based malware — a growing trend and recent specialty of BlueNoroff.
“They’re targeting developers and individuals that are holding these cryptocurrencies,” Bradley explains, and, in opportunistic fashion, the group has not been content to target only those using one operating system. “You could go after a victim on a Windows computer, but a lot of times those users are going to be on Mac. So if you opt not to target that platform, then you’re potentially opting out of a very large amount of cryptocurrency that could be stolen.”
From a technical standpoint, however, ObjCShellz is utterly simplistic — a simple reverse shell for Apple computers, enabling command execution from an attacker’s server. (The researchers suspect this tool is used in the late stages of multi-staged attacks.)
The binary was uploaded once from Japan in September, and three times from a US-based IP in mid-October, the Jamf researchers added.
In light of BlueNoroff’s successes stealing crypto, Bradley urges Mac users to stay as vigilant as their Windows brethren.
“There’s a lot of false understanding about how Macs are inherently safe, and there’s definitely some truth to that,” he says. “Mac is a safe operating system. But when it comes to social engineering, anyone’s susceptible to running something malicious on their computer.”
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware
- :имеет
- :является
- :нет
- $UP
- 7
- a
- в состоянии
- О нас
- доступ
- выполнять
- действия
- деятельность
- добавленный
- адрес
- После
- количество
- an
- и
- кто угодно
- Apple
- APT
- МЫ
- ARM
- AS
- At
- нападки
- Банки
- BE
- было
- не являетесь
- ниже
- Бленд
- Блог
- но
- by
- призывают
- под названием
- Кампания
- столица
- захваченный
- охарактеризовать
- выходит
- Компании
- скомпрометированы
- компьютер
- компьютеры
- подключенный
- последовательный
- содержание
- может
- крипто-
- криптообмен
- криптовалюты
- криптовалюта
- Cryptocurrency Exchange
- дебютировало
- Дебюты
- определенно
- застройщиков
- директор
- домен
- доменов
- вниз
- КНДР
- Ранее
- устрашающе
- Эффективный
- усилия
- позволяет
- Проект и
- пример
- обмена
- Биржи
- выполнение
- объяснены
- Объясняет
- факт
- ложный
- Фэшн
- несколько
- финансовый
- Финансовые институты
- Компаний
- Во-первых,
- Что касается
- свежий
- от
- фонд
- Go
- будет
- группы
- Рост
- личина
- Хакеры
- Есть
- he
- проведение
- Как
- Однако
- HTTPS
- if
- in
- лиц
- по существу
- начальный
- учреждения
- инвестиций
- инвестор
- IP
- IT
- ЕГО
- Япония
- всего
- хранение
- Ким
- известный
- Корея
- Корейский
- Labs
- большой
- Поздно
- последний
- Лазарь
- Лазарь Групп
- законный
- легкий
- серия
- макинтош
- MacOS
- вредоносных программ
- деньги
- месяцев
- с разными
- сеть
- Новые
- север
- Северная Корея
- примечательный
- печально известный
- целей
- of
- Предложения
- .
- on
- консолидировать
- ONE
- постоянный
- только
- операционный
- операционная система
- or
- заказ
- обычный
- внешний
- за
- страница
- Партнерство
- мимо
- фишинг
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- потенциал
- потенциально
- опубликованный
- RE
- достигнув результата
- последний
- Red
- регистрирующий
- исследователи
- Показали
- обратный
- Run
- Бег
- s
- безопасный
- говорит
- безопасность
- видел
- сентябрь
- сервер
- Оболочка
- аналогичный
- просто
- сайте
- So
- Соцсети
- Социальная инженерия
- некоторые
- удалось
- Специальные
- этапы
- точка зрения
- Область
- оставаться
- украли
- восприимчивый
- Swissborg
- система
- системы
- тактика
- цель
- направлены
- направлена против
- команда
- Технический
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- Эти
- они
- этой
- В этом году
- те
- угроза
- три
- раз
- в
- инструментом
- Отслеживание
- Правда
- под
- понимание
- загружено
- призывы
- us
- использование
- используемый
- пользователей
- использования
- через
- Ve
- предприятие
- венчурный капитал
- Венчурный капитал Фирмы
- очень
- Жертва
- законопроект
- we
- Вебсайт
- веб-сайты
- когда
- , которые
- КТО
- окна
- год
- Ты
- зефирнет