BlueNoroff APT của Triều Tiên ra mắt phần mềm độc hại MacOS 'ngu ngốc'

Được xuất bản lại bởi Plato

Người theo dõi: 0

Tin tặc nhà nước Triều Tiên đã ra mắt một phần mềm độc hại Mac mới nhắm mục tiêu vào người dùng ở Mỹ và Nhật Bản, được các nhà nghiên cứu mô tả là “ngu ngốc” nhưng hiệu quả.

Là một nhánh của Tập đoàn Lazarus khét tiếng của CHDCND Triều Tiên, BlueNoroff được biết đến với quyên tiền cho chế độ Kim bằng cách nhắm mục tiêu vào các tổ chức tài chính - ngân hàng, công ty đầu tư mạo hiểm, trao đổi tiền điện tử và khởi nghiệp - và những cá nhân sử dụng chúng.

Kể từ đầu năm nay, các nhà nghiên cứu từ Jamf Threat Labs đã theo dõi chiến dịch BlueNoroff mà họ gọi là “RustBucket”, nhắm mục tiêu vào các hệ thống MacOS. TRONG một blog được xuất bản vào thứ ba, họ đã tiết lộ một miền độc hại mới bắt chước một sàn giao dịch tiền điện tử và một lớp vỏ đảo ngược thô sơ có tên là “ObjCShellz”, mà nhóm đang sử dụng để xâm phạm các mục tiêu mới.

Jaron Bradley, giám đốc của Jamf Threat Labs cho biết: “Chúng tôi đã thấy rất nhiều hành động từ nhóm này trong vài tháng qua - không chỉ chúng tôi mà còn nhiều công ty bảo mật”. “Việc họ có thể hoàn thành mục tiêu bằng cách sử dụng phần mềm độc hại đơn giản này chắc chắn là điều đáng chú ý.”

Tin tặc Triều Tiên nhắm mục tiêu MacOS

Dấu hiệu đỏ đầu tiên của ObjCShellz là tên miền mà nó kết nối với: swissborg[.]blog, với địa chỉ cực kỳ giống với swissborg.com/blog, một trang web được điều hành bởi sàn giao dịch tiền điện tử hợp pháp SwissBorg.

Điều này phù hợp với chiến thuật kỹ thuật xã hội mới nhất của BlueNoroff. TRONG chiến dịch RustBucket đang diễn ra của nó, kẻ đe dọa đã tiếp cận các mục tiêu dưới vỏ bọc là nhà tuyển dụng hoặc nhà đầu tư, đưa ra lời đề nghị hoặc tiềm năng hợp tác. Các nhà nghiên cứu giải thích, việc tiếp tục mưu mẹo này thường liên quan đến việc đăng ký các miền chỉ huy và kiểm soát (C2) bắt chước các trang web tài chính hợp pháp để hòa nhập với hoạt động mạng thông thường.

Ví dụ dưới đây được nhóm Jamf lấy từ trang web của một quỹ đầu tư mạo hiểm hợp pháp và được BlueNoroff sử dụng trong các nỗ lực lừa đảo của mình.

Ảnh chụp màn hình từ trang đầu tư hợp pháp BlueNoroff sử dụng để lừa đảo — Nguồn: Jamf

Sau lần truy cập đầu tiên sẽ đến Phần mềm độc hại dựa trên MacOS – xu hướng ngày càng tăng và đặc sản gần đây của BlueNoroff.

“Họ đang nhắm mục tiêu vào các nhà phát triển và cá nhân đang nắm giữ những loại tiền điện tử này,” Bradley giải thích, và theo kiểu cơ hội, nhóm này không bằng lòng chỉ nhắm mục tiêu vào những người sử dụng một hệ điều hành. “Bạn có thể truy lùng nạn nhân trên máy tính Windows, nhưng rất nhiều khi những người dùng đó sẽ sử dụng máy Mac. Vì vậy, nếu bạn chọn không nhắm mục tiêu vào nền tảng đó thì có khả năng bạn đang từ chối một lượng tiền điện tử rất lớn có thể bị đánh cắp.”

Tuy nhiên, từ quan điểm kỹ thuật, ObjCShellz hoàn toàn đơn giản - một shell đảo ngược đơn giản dành cho máy tính Apple, cho phép thực thi lệnh từ máy chủ của kẻ tấn công. (Các nhà nghiên cứu nghi ngờ công cụ này được sử dụng trong giai đoạn cuối của các cuộc tấn công nhiều giai đoạn.)

Các nhà nghiên cứu của Jamf cho biết thêm, tệp nhị phân đã được tải lên một lần từ Nhật Bản vào tháng 9 và ba lần từ một IP có trụ sở tại Hoa Kỳ vào giữa tháng 10.

Trước những thành công của BlueNoroff trong việc đánh cắp tiền điện tử, Bradley kêu gọi người dùng Mac hãy luôn cảnh giác như những người anh em Windows của họ.

“Có rất nhiều hiểu biết sai lầm về mức độ an toàn vốn có của máy Mac và chắc chắn có một số sự thật về điều đó,” ông nói. “Mac là một hệ điều hành an toàn. Nhưng khi nói đến kỹ nghệ xã hội, bất kỳ ai cũng có nguy cơ chạy thứ gì đó độc hại trên máy tính của mình.”