BlueNoroff APT ของเกาหลีเหนือเปิดตัวมัลแวร์ macOS 'Dumbed Down'

แฮกเกอร์ของรัฐเกาหลีเหนือได้เปิดตัวมัลแวร์ Mac ตัวใหม่ที่มีเป้าหมายไปที่ผู้ใช้ในสหรัฐอเมริกาและญี่ปุ่น ซึ่งนักวิจัยระบุว่าเป็น "โง่เขลา" แต่มีประสิทธิภาพ

BlueNoroff ซึ่งเป็นส่วนหนึ่งของกลุ่ม Lazarus Group ที่โด่งดังของ DPRK เป็นที่รู้จัก หาเงินให้รัฐบาลคิม โดยกำหนดเป้าหมายไปที่สถาบันการเงิน เช่น ธนาคาร บริษัทร่วมลงทุน การแลกเปลี่ยนสกุลเงินดิจิตอลและการเริ่มต้น - และบุคคลที่ใช้งาน

ตั้งแต่ต้นปีนี้ นักวิจัยจาก Jamf Threat Labs ได้ติดตามแคมเปญ BlueNoroff ที่พวกเขาเรียกว่า "RustBucket" โดยกำหนดเป้าหมายไปที่ระบบ MacOS ใน บล็อกที่เผยแพร่เมื่อวันอังคารพวกเขาเปิดเผยโดเมนที่เป็นอันตรายใหม่ที่เลียนแบบการแลกเปลี่ยน crypto และเชลล์ย้อนกลับขั้นพื้นฐานที่เรียกว่า “ObjCShellz” ซึ่งกลุ่มใช้เพื่อประนีประนอมเป้าหมายใหม่

“เราได้เห็นการดำเนินการมากมายจากกลุ่มนี้ในช่วงไม่กี่เดือนที่ผ่านมา ไม่ใช่แค่เรา แต่รวมถึงบริษัทรักษาความปลอดภัยหลายแห่งด้วย” Jaron Bradley ผู้อำนวยการของ Jamf Threat Labs กล่าว “ความจริงที่ว่าพวกเขาสามารถบรรลุวัตถุประสงค์โดยใช้มัลแวร์ที่โง่เขลานี้เป็นสิ่งที่น่าทึ่งอย่างแน่นอน”

แฮกเกอร์ชาวเกาหลีเหนือโจมตี MacOS

ธงสีแดงแรกของ ObjCShellz คือโดเมนที่เชื่อมต่อกับ: swissborg[.]blog โดยมีที่อยู่คล้ายกับ swissborg.com/blog ซึ่งเป็นไซต์ที่ดำเนินการโดย SwissBorg ซึ่งเป็นการแลกเปลี่ยนสกุลเงินดิจิทัลที่ถูกต้องตามกฎหมาย

ซึ่งสอดคล้องกับกลยุทธ์วิศวกรรมสังคมล่าสุดของ BlueNoroff ใน แคมเปญ RustBucket ที่กำลังดำเนินอยู่ผู้แสดงภัยคุกคามได้เข้าถึงเป้าหมายภายใต้หน้ากากของการเป็นผู้สรรหาหรือนักลงทุน โดยแบกรับข้อเสนอหรือศักยภาพในการเป็นหุ้นส่วน นักวิจัยอธิบายว่าการรักษาอุบายมักเกี่ยวข้องกับการลงทะเบียนโดเมนคำสั่งและการควบคุม (C2) ที่เลียนแบบเว็บไซต์ทางการเงินที่ถูกกฎหมาย เพื่อให้ผสมผสานกับกิจกรรมเครือข่ายทั่วไป

ตัวอย่างด้านล่างนี้ถ่ายโดยทีมงาน Jamf จากเว็บไซต์ของกองทุนร่วมลงทุนที่ถูกต้องตามกฎหมาย และนำไปใช้โดย BlueNoroff ในความพยายามฟิชชิ่ง

หลังจากการเข้าถึงครั้งแรกมาถึงแล้ว มัลแวร์บน MacOS — เทรนด์ที่กำลังเติบโต และความพิเศษล่าสุดของ BlueNoroff

“พวกเขากำลังกำหนดเป้าหมายไปที่นักพัฒนาและบุคคลที่ถือครอง cryptocurrencies เหล่านี้” Bradley อธิบาย และในลักษณะที่ฉวยโอกาส กลุ่มนี้ไม่พอใจที่จะกำหนดเป้าหมายเฉพาะผู้ที่ใช้ระบบปฏิบัติการเดียวเท่านั้น “คุณสามารถติดตามเหยื่อบนคอมพิวเตอร์ Windows ได้ แต่หลายครั้งที่ผู้ใช้เหล่านั้นจะใช้ Mac ดังนั้นหากคุณเลือกที่จะไม่กำหนดเป้าหมายแพลตฟอร์มนั้น แสดงว่าคุณอาจเลือกไม่ใช้สกุลเงินดิจิตอลจำนวนมากที่อาจถูกขโมยได้”

อย่างไรก็ตาม จากมุมมองทางเทคนิค ObjCShellz นั้นเรียบง่ายที่สุด — เป็นเชลล์ย้อนกลับอย่างง่ายสำหรับคอมพิวเตอร์ Apple ซึ่งช่วยให้สามารถดำเนินการคำสั่งจากเซิร์ฟเวอร์ของผู้โจมตีได้ (นักวิจัยสงสัยว่าเครื่องมือนี้ถูกใช้ในช่วงปลายของการโจมตีแบบหลายขั้นตอน)

ไบนารี่ถูกอัปโหลดหนึ่งครั้งจากญี่ปุ่นในเดือนกันยายน และสามครั้งจาก IP ของสหรัฐอเมริกาในช่วงกลางเดือนตุลาคม นักวิจัยของ Jamf กล่าวเสริม

จากความสำเร็จของ BlueNoroff ในการขโมย crypto นั้น Bradley กระตุ้นให้ผู้ใช้ Mac ระมัดระวังเช่นเดียวกับพี่น้อง Windows ของพวกเขา

“มีความเข้าใจที่ผิดๆ มากมายเกี่ยวกับวิธีที่ Mac ปลอดภัยโดยธรรมชาติ และแน่นอนว่ามีความจริงอยู่บ้าง” เขากล่าว “Mac เป็นระบบปฏิบัติการที่ปลอดภัย แต่เมื่อพูดถึงวิศวกรรมสังคม ใครก็ตามที่เสี่ยงต่อการใช้งานสิ่งที่เป็นอันตรายบนคอมพิวเตอร์ของตน”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware