Північнокорейська BlueNoroff APT дебютує з «заглушеною» шкідливою програмою для macOS

Державні хакери Північної Кореї представили нову шкідливу програму для Mac, націлену на користувачів у США та Японії, яку дослідники характеризують як «приглушену», але ефективну.

Відомо, що підрозділ сумнозвісної КНДР групи Lazarus Group, BlueNoroff збирати гроші для режиму Кіма орієнтуючись на фінансові установи — банки, компанії венчурного капіталу, криптовалютні біржі та стартапи — та особи, які ними користуються.

З початку цього року дослідники з Jamf Threat Labs відстежують кампанію BlueNoroff, яку вони називають «RustBucket», спрямовану на системи MacOS. в блог, опублікований у вівторок, вони виявили новий шкідливий домен, що імітує криптообмін, і рудиментарну зворотну оболонку під назвою «ObjCShellz», яку група використовує для компрометації нових цілей.

«Протягом останніх кількох місяців ми бачили багато дій цієї групи — не лише ми, а й численні охоронні компанії», — каже Джарон Бредлі, директор Jamf Threat Labs. «Той факт, що вони можуть досягти своїх цілей, використовуючи це тупі зловмисне програмне забезпечення, безумовно, примітний».

Північнокорейські хакери атакують MacOS

Першим червоним прапором ObjCShellz став домен, до якого він підключався: swissborg[.]blog, з адресою, моторошно схожою на swissborg.com/blog, сайт, який керує законна біржа криптовалют SwissBorg.

Це відповідало новітній тактиці соціальної інженерії BlueNoroff. в свою поточну кампанію RustBucket, загрозливий суб’єкт звертався до цілей під виглядом вербувальника чи інвестора, надаючи пропозиції чи потенціал для партнерства. Дослідники пояснили, що підтримка обману часто передбачає реєстрацію командно-контрольних (C2) доменів, що імітують законні фінансові веб-сайти, щоб злитися зі звичайною мережевою діяльністю.

Наведений нижче приклад було взято командою Jamf із веб-сайту законного фонду венчурного капіталу та використано BlueNoroff у своїх спробах фішингу.

Після початкового доступу настає його Зловмисне програмне забезпечення на базі MacOS — зростаюча тенденція і нещодавня спеціалізація BlueNoroff.

«Вони націлені на розробників і окремих осіб, які тримають ці криптовалюти», — пояснює Бредлі, і, оппортуністично, група не задовольняється тим, що націлюється лише на тих, хто використовує одну операційну систему. «Ви можете шукати жертву на комп’ютері Windows, але часто ці користувачі будуть на Mac. Отже, якщо ви вирішите не націлюватися на цю платформу, ви потенційно відмовляєтеся від дуже великої кількості криптовалюти, яку можна вкрасти».

З технічної точки зору, однак, ObjCShellz є надзвичайно спрощеним — проста зворотна оболонка для комп’ютерів Apple, що дозволяє виконувати команди з сервера зловмисника. (Дослідники підозрюють, що цей інструмент використовується на пізніх стадіях багатоетапних атак.)

Двійковий файл було завантажено один раз з Японії у вересні та тричі з IP-адреси в США в середині жовтня, додали дослідники Jamf.

У світлі успіхів BlueNoroff у крадіжці крипто, Бредлі закликає користувачів Mac залишатися такими ж пильними, як і їхні брати з Windows.

«Існує багато хибних уявлень про те, наскільки комп’ютери Mac за своєю суттю безпечні, і в цьому точно є частка правди», – каже він. «Mac — безпечна операційна система. Але коли справа доходить до соціальної інженерії, будь-хто може запустити щось шкідливе на своєму комп’ютері».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware