Державні хакери Північної Кореї представили нову шкідливу програму для Mac, націлену на користувачів у США та Японії, яку дослідники характеризують як «приглушену», але ефективну.
Відомо, що підрозділ сумнозвісної КНДР групи Lazarus Group, BlueNoroff збирати гроші для режиму Кіма орієнтуючись на фінансові установи — банки, компанії венчурного капіталу, криптовалютні біржі та стартапи — та особи, які ними користуються.
З початку цього року дослідники з Jamf Threat Labs відстежують кампанію BlueNoroff, яку вони називають «RustBucket», спрямовану на системи MacOS. в блог, опублікований у вівторок, вони виявили новий шкідливий домен, що імітує криптообмін, і рудиментарну зворотну оболонку під назвою «ObjCShellz», яку група використовує для компрометації нових цілей.
«Протягом останніх кількох місяців ми бачили багато дій цієї групи — не лише ми, а й численні охоронні компанії», — каже Джарон Бредлі, директор Jamf Threat Labs. «Той факт, що вони можуть досягти своїх цілей, використовуючи це тупі зловмисне програмне забезпечення, безумовно, примітний».
Північнокорейські хакери атакують MacOS
Першим червоним прапором ObjCShellz став домен, до якого він підключався: swissborg[.]blog, з адресою, моторошно схожою на swissborg.com/blog, сайт, який керує законна біржа криптовалют SwissBorg.
Це відповідало новітній тактиці соціальної інженерії BlueNoroff. в свою поточну кампанію RustBucket, загрозливий суб’єкт звертався до цілей під виглядом вербувальника чи інвестора, надаючи пропозиції чи потенціал для партнерства. Дослідники пояснили, що підтримка обману часто передбачає реєстрацію командно-контрольних (C2) доменів, що імітують законні фінансові веб-сайти, щоб злитися зі звичайною мережевою діяльністю.
Наведений нижче приклад було взято командою Jamf із веб-сайту законного фонду венчурного капіталу та використано BlueNoroff у своїх спробах фішингу.
Після початкового доступу настає його Зловмисне програмне забезпечення на базі MacOS — зростаюча тенденція і нещодавня спеціалізація BlueNoroff.
«Вони націлені на розробників і окремих осіб, які тримають ці криптовалюти», — пояснює Бредлі, і, оппортуністично, група не задовольняється тим, що націлюється лише на тих, хто використовує одну операційну систему. «Ви можете шукати жертву на комп’ютері Windows, але часто ці користувачі будуть на Mac. Отже, якщо ви вирішите не націлюватися на цю платформу, ви потенційно відмовляєтеся від дуже великої кількості криптовалюти, яку можна вкрасти».
З технічної точки зору, однак, ObjCShellz є надзвичайно спрощеним — проста зворотна оболонка для комп’ютерів Apple, що дозволяє виконувати команди з сервера зловмисника. (Дослідники підозрюють, що цей інструмент використовується на пізніх стадіях багатоетапних атак.)
Двійковий файл було завантажено один раз з Японії у вересні та тричі з IP-адреси в США в середині жовтня, додали дослідники Jamf.
У світлі успіхів BlueNoroff у крадіжці крипто, Бредлі закликає користувачів Mac залишатися такими ж пильними, як і їхні брати з Windows.
«Існує багато хибних уявлень про те, наскільки комп’ютери Mac за своєю суттю безпечні, і в цьому точно є частка правди», – каже він. «Mac — безпечна операційна система. Але коли справа доходить до соціальної інженерії, будь-хто може запустити щось шкідливе на своєму комп’ютері».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware
- : має
- :є
- : ні
- $UP
- 7
- a
- Здатний
- МЕНЮ
- доступ
- виконувати
- дії
- діяльність
- доданий
- адреса
- після
- кількість
- an
- та
- будь
- Apple
- APT
- ЕСТЬ
- ARM
- AS
- At
- нападки
- Банки
- BE
- було
- буття
- нижче
- Blend
- Блог
- але
- by
- call
- званий
- Кампанія
- капітал
- захоплений
- охарактеризувати
- приходить
- Компанії
- компроміс
- комп'ютер
- комп'ютери
- підключений
- послідовний
- зміст
- може
- крипто
- криптообмін
- cryptocurrencies
- криптовалюта
- Обмін криптовалют
- дебютувало
- Дебют
- безумовно
- розробників
- Директор
- домен
- домени
- вниз
- dprk
- Раніше
- моторошно
- Ефективний
- зусилля
- дозволяє
- Машинобудування
- приклад
- обмін
- Біржі
- виконання
- пояснені
- Пояснює
- факт
- false
- мода
- кілька
- фінансовий
- Фінансові установи
- фірми
- Перший
- для
- свіжий
- від
- фонд
- Go
- буде
- Group
- Зростання
- як хочеш
- хакери
- Мати
- he
- проведення
- Як
- Однак
- HTTPS
- if
- in
- осіб
- за своєю суттю
- початковий
- установи
- інвестиції
- інвестор
- IP
- IT
- ЙОГО
- Japan
- просто
- зберігання
- Кім
- відомий
- Корея
- корейський
- Labs
- великий
- Пізно
- останній
- Лазар
- Група «Лазар»
- законний
- світло
- серія
- макінтош
- MacOS
- шкідливих програм
- гроші
- місяців
- множинний
- мережу
- Нові
- На північ
- Північна Корея
- Помітний
- горезвісний
- цілей
- of
- Пропозиції
- часто
- on
- один раз
- ONE
- постійний
- тільки
- операційний
- операційна система
- or
- порядок
- звичайний
- з
- над
- сторінка
- Партнерство
- Минуле
- phishing
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- потенціал
- потенційно
- опублікований
- RE
- досягнення
- останній
- червоний
- реєструючий
- Дослідники
- Показали
- зворотний
- прогін
- біг
- s
- сейф
- говорить
- безпеку
- бачив
- Вересень
- сервер
- Склад
- аналогічний
- простий
- сайт
- So
- соціальна
- Соціальна інженерія
- деякі
- що в сім'ї щось
- Спеціальність
- етапи
- точки зору
- стан
- залишатися
- вкрали
- схильний
- Swissborg
- система
- Systems
- тактика
- Мета
- націлювання
- цілі
- команда
- технічний
- Що
- Команда
- їх
- Їх
- потім
- Там.
- Ці
- вони
- це
- У цьому році
- ті
- загроза
- три
- times
- до
- інструмент
- Відстеження
- Правда
- при
- розуміння
- завантажено
- позиви
- us
- використання
- використовуваний
- користувачі
- використовує
- використання
- Ve
- підприємство
- венчурний капітал
- Фірми венчурного капіталу
- дуже
- Жертва
- було
- we
- веб-сайт
- веб-сайти
- коли
- який
- ВООЗ
- windows
- з
- рік
- Ти
- зефірнет