朝鲜的 BlueNoroff APT 首次推出“简化版”macOS 恶意软件

朝鲜国家黑客首次针对美国和日本用户推出了一款新的 Mac 恶意软件，研究人员将其描述为“简单”但有效。

BlueNoroff 是朝鲜臭名昭著的拉撒路集团的一个分支，众所周知 为金氏政权筹集资金 通过针对金融机构——银行、风险投资公司、 加密货币交易所和初创公司 ——以及使用它们的个人。

自今年早些时候以来，Jamf 威胁实验室的研究人员一直在跟踪一个名为“RustBucket”的 BlueNoroff 活动，该活动针对 MacOS 系统。在 周二发布的博客，他们揭示了一个模仿加密货币交易所的新恶意域，以及一个名为“ObjCShellz”的基本反向 shell，该组织正在使用它来破坏新目标。

Jamf 威胁实验室总监 Jaron Bradley 表示：“过去几个月，我们看到该组织采取了很多行动，不仅是我们，还有多家安全公司。” “他们能够使用这种简单化的恶意软件来实现他们的目标，这一事实绝对值得注意。”

朝鲜黑客瞄准 MacOS

ObjCShellz 的第一个危险信号是它连接的域名：swissborg[.]blog，其地址与 swissborg.com/blog 极其相似，这是一个由合法加密货币交易所 SwissBorg 运营的网站。

这与 BlueNoroff 最新的社会工程策略是一致的。在 其正在进行的 RustBucket 活动，威胁行为者一直以招聘人员或投资者为幌子向目标伸出援手，提出要约或可能建立合作伙伴关系。研究人员解释说，继续这种诡计通常涉及注册模仿合法金融网站的命令和控制 (C2) 域，以便融入普通的网络活动。

下面的示例是 Jamf 团队从合法风险投资基金的网站捕获的，并被 BlueNoroff 用于网络钓鱼活动。

初始访问后出现 基于 MacOS 的恶意软件 — 呈增长趋势 以及 BlueNoroff 的最新特色。

布拉德利解释说：“他们的目标是持有这些加密货币的开发者和个人。”并且，以机会主义的方式，该组织并不满足于只针对那些使用一种操作系统的人。 “你可以在 Windows 计算机上追踪受害者，但很多时候这些用户会使用 Mac。因此，如果你选择不瞄准该平台，那么你可能会选择退出大量可能被盗的加密货币。”

然而，从技术角度来看，ObjCShellz 非常简单——Apple 计算机的简单反向 shell，允许从攻击者的服务器执行命令。 （研究人员怀疑该工具是在多阶段攻击的后期使用的。）

Jamf 研究人员补充说，该二进制文件于 XNUMX 月份从日本上传了一次，并于 XNUMX 月中旬从美国的 IP 上传了 XNUMX 次。

鉴于 BlueNoroff 成功窃取加密货币，布拉德利敦促 Mac 用户像 Windows 用户一样保持警惕。

“对于 Mac 本质上的安全性，人们存在很多错误的理解，但这种说法肯定有一定道理，”他说。 “Mac 是一个安全的操作系统。但当涉及到社会工程时，任何人都容易在自己的计算机上运行恶意软件。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware