Severnokorejski BlueNoroff APT je prvič predstavil zlonamerno programsko opremo za macOS, ki je "otepela".

Severnokorejski državni hekerji so debitirali s svežo zlonamerno programsko opremo za Mac, ki cilja na uporabnike v ZDA in na Japonskem, ki jo raziskovalci označujejo za "oblemelo", a učinkovito.

Znano je, da je podružnica razvpite skupine Lazarus iz DLRK, BlueNoroff zbirati denar za Kimov režim s ciljanjem na finančne institucije – banke, podjetja tveganega kapitala, menjalnice kriptovalut in startupov — in posamezniki, ki jih uporabljajo.

Od začetka tega leta raziskovalci iz Jamf Threat Labs spremljajo kampanjo BlueNoroff, ki jo imenujejo "RustBucket", ciljajoč na sisteme MacOS. notri blog, objavljen v torek, so razkrili novo zlonamerno domeno, ki posnema kripto izmenjavo, in osnovno povratno lupino, imenovano »ObjCShellz«, ki jo skupina uporablja za ogrožanje novih ciljev.

»V zadnjih nekaj mesecih smo videli veliko dejanj te skupine – ne samo mi, ampak več varnostnih podjetij,« pravi Jaron Bradley, direktor Jamf Threat Labs. "Dejstvo, da so sposobni doseči svoje cilje z uporabo te obupne zlonamerne programske opreme, je vsekakor opazno."

Severnokorejski hekerji ciljajo na MacOS

Prva rdeča zastavica ObjCShellza je bila domena, s katero se je povezal: swissborg[.]blog, z naslovom, grozljivo podobnim swissborg.com/blog, spletnemu mestu, ki ga vodi zakonita borza kriptovalut SwissBorg.

To je bilo v skladu z najnovejšo taktiko socialnega inženiringa družbe BlueNoroff. notri tekočo kampanjo RustBucket, akter grožnje dosega tarče pod pretvezo, da je najemnik ali vlagatelj, s ponudbami ali potencialom za partnerstvo. Ohranjanje zvijače pogosto vključuje registracijo ukazno-nadzornih (C2) domen, ki posnemajo zakonita finančna spletna mesta, da se zlijejo z običajno omrežno dejavnostjo, so pojasnili raziskovalci.

Spodnji primer je ekipa Jamf zajela s spletnega mesta zakonitega sklada tveganega kapitala, BlueNoroff pa ga je uporabil pri svojih poskusih lažnega predstavljanja.

Po začetnem dostopu pride na vrsto Zlonamerna programska oprema, ki temelji na sistemu MacOS, narašča trend in nedavna specialiteta BlueNoroffa.

»Ciljajo na razvijalce in posameznike, ki imajo te kriptovalute,« pojasnjuje Bradley, in na oportunistični način skupina ni bila zadovoljna s ciljanjem samo na tiste, ki uporabljajo en operacijski sistem. »Lahko bi lovili žrtev na računalniku z operacijskim sistemom Windows, vendar bodo ti uporabniki velikokrat uporabljali Mac. Torej, če se odločite, da ne boste ciljali na to platformo, potem potencialno zavrnete zelo veliko količino kriptovalute, ki bi jo lahko ukradli.«

S tehničnega vidika pa je ObjCShellz popolnoma poenostavljen – preprosta obratna lupina za računalnike Apple, ki omogoča izvajanje ukazov s strežnika napadalca. (Raziskovalci sumijo, da se to orodje uporablja v poznih fazah večstopenjskih napadov.)

Binarna datoteka je bila enkrat naložena z Japonske septembra in trikrat z IP-ja s sedežem v ZDA sredi oktobra, so dodali raziskovalci Jamfa.

V luči BlueNoroffovih uspehov pri kraji kriptovalut Bradley poziva uporabnike Maca, naj ostanejo tako previdni kot njihovi bratje Windows.

»Veliko je napačnega razumevanja, kako so računalniki Mac sami po sebi varni, in v tem je zagotovo nekaj resnice,« pravi. »Mac je varen operacijski sistem. Toda ko gre za socialni inženiring, je vsak dovzeten za zagon nečesa zlonamernega na svojem računalniku.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware