Kuzey Kore'nin BlueNoroff APT'si 'Dumbed Down' macOS Kötü Amaçlı Yazılımını Piyasaya Sürüyor

Kuzey Koreli devlet korsanları, ABD ve Japonya'daki kullanıcıları hedef alan, araştırmacıların "basitleştirilmiş" ancak etkili olarak nitelendirdiği yeni bir Mac kötü amaçlı yazılımını piyasaya sürdü.

Kuzey Kore'nin kötü şöhretli Lazarus Grubunun bir kolu olan BlueNoroff'un, Kim rejimi için para toplamak finansal kurumları hedef alarak (bankalar, risk sermayesi şirketleri, kripto para borsaları ve startuplar - ve bunları kullanan kişiler.

Bu yılın başından beri Jamf Threat Labs'tan araştırmacılar, MacOS sistemlerini hedef alan ve "RustBucket" adını verdikleri bir BlueNoroff kampanyasını izliyorlar. İçinde Salı günü yayınlanan bir blog, bir kripto borsasını taklit eden yeni bir kötü amaçlı alanı ve grubun yeni hedefleri tehlikeye atmak için kullandığı "ObjCShellz" adlı ilkel bir ters kabuğu ortaya çıkardılar.

Jamf Threat Labs direktörü Jaron Bradley, "Son birkaç ayda bu gruptan çok sayıda eylem gördük; sadece biz değil, birçok güvenlik şirketi de" diyor. "Bu basitleştirilmiş kötü amaçlı yazılımı kullanarak hedeflerine ulaşabilmeleri kesinlikle dikkate değer."

Kuzey Koreli Hackerlar MacOS'u Hedefliyor

ObjCShellz'in ilk tehlike işareti bağlandığı alan adıydı: swissborg[.]blog, adresi yasal kripto para borsası SwissBorg tarafından işletilen swissborg.com/blog'a ürkütücü derecede benziyordu.

Bu, BlueNoroff'un en son sosyal mühendislik taktikleriyle tutarlıydı. İçinde devam eden RustBucket kampanyasıTehdit aktörü, işe alım uzmanı ya da yatırımcı kisvesi altında hedeflere ulaşıyor, teklifler ya da ortaklık potansiyeli taşıyor. Araştırmacılar, hileyi sürdürmenin genellikle sıradan ağ faaliyetlerine uyum sağlamak için meşru finansal web sitelerini taklit eden komuta ve kontrol (C2) alan adlarını kaydetmeyi içerdiğini açıkladı.

Aşağıdaki örnek, Jamf ekibi tarafından meşru bir risk sermayesi fonunun web sitesinden yakalandı ve BlueNoroff tarafından kimlik avı çabalarında kullanıldı.

İlk erişimden sonra gelir MacOS tabanlı kötü amaçlı yazılım — büyüyen bir trend ve BlueNoroff'un son spesiyalitesi.

Bradley, "Bu kripto para birimlerini elinde bulunduran geliştiricileri ve bireyleri hedef alıyorlar" diye açıklıyor ve grup, fırsatçı bir şekilde yalnızca tek bir işletim sistemi kullananları hedeflemekle yetinmiyor. “Bir Windows bilgisayarında bir kurbanın peşine düşebilirsiniz, ancak çoğu zaman bu kullanıcılar Mac kullanıyor olacak. Dolayısıyla, eğer bu platformu hedeflememeyi tercih ederseniz, çalınabilecek çok büyük miktardaki kripto para biriminden potansiyel olarak vazgeçmiş olursunuz.”

Ancak teknik açıdan bakıldığında ObjCShellz son derece basittir; Apple bilgisayarları için basit bir ters kabuktur ve saldırganın sunucusundan komut yürütülmesini sağlar. (Araştırmacılar bu aracın çok aşamalı saldırıların son aşamalarında kullanıldığından şüpheleniyorlar.)

Jamf araştırmacıları, ikili dosyanın Eylül ayında Japonya'dan bir kez ve Ekim ortasında ABD merkezli bir IP'den üç kez yüklendiğini ekledi.

BlueNoroff'un kripto çalmadaki başarısının ışığında Bradley, Mac kullanıcılarını Windows kardeşleri kadar dikkatli olmaya çağırıyor.

"Mac'lerin doğası gereği güvenli olduğuna dair pek çok yanlış anlayış var ve bunda kesinlikle doğruluk payı var" diyor. “Mac güvenli bir işletim sistemidir. Ancak sosyal mühendislik söz konusu olduğunda herkes bilgisayarında kötü amaçlı bir şey çalıştırmaya yatkındır."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware