Lord777
Professional
- Messages
- 2,579
- Reaction score
- 1,471
- Points
- 113
Связанной с Северной Кореей государственной группе BlueNoroff приписали ранее недокументированный штамм вредоносного ПО macOS, получивший название ObjCShellz.
Jamf Threat Labs, которая раскрыла подробности о вредоносном ПО, заявила, что оно используется в рамках кампании RustBucket malware, о которой стало известно ранее в этом году.
"Основываясь на предыдущих атаках, проведенных BlueNoroff, мы подозреваем, что это вредоносное ПО было поздней стадией многоступенчатого вредоносного ПО, поставляемого с помощью социальной инженерии", - сказал исследователь безопасности Фердоус Салджуки в отчете, опубликованном в Hacker News.
BlueNoroff, также отслеживаемый под именами APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima и TA444, является подчиненным элементом печально известной Lazarus Group, которая специализируется на финансовых преступлениях, нацеленных на банки и криптосектор как способ уклонения от санкций и получения незаконной прибыли для режима.
Разработка появилась через несколько дней после того, как Elastic Security Labs раскрыла использование Lazarus Group нового вредоносного ПО для macOS под названием KANDYKORN для атаки на блокчейн-инженеров.
Также с субъектом угрозы связана вредоносная программа для macOS, известная как RustBucket, бэкдор на базе AppleScript, предназначенный для извлечения полезной нагрузки второго этапа с сервера, контролируемого злоумышленником.
В ходе этих атак потенциальных жертв заманивают под предлогом предложения им инвестиционного совета или работы только для того, чтобы запустить цепочку заражения с помощью документа-приманки.
ObjCShellz, как следует из названия, написан на Objective-C и функционирует как "очень простая удаленная оболочка, которая выполняет команды оболочки, отправленные с сервера злоумышленника".
"У нас нет подробностей о том, против кого это было официально использовано", - сказал Салджуки The Hacker News. "Но, учитывая атаки, которые мы наблюдали в этом году, и название домена, созданного злоумышленниками, оно, скорее всего, было использовано против компании, которая работает в индустрии криптовалют или тесно сотрудничает с ней".
Точный начальный вектор доступа для атаки в настоящее время неизвестен, хотя есть подозрение, что вредоносная программа доставляется в качестве полезной нагрузки после эксплуатации для ручного запуска команд на взломанном компьютере.
"Хотя это вредоносное ПО довольно простое, оно по-прежнему очень функционально и поможет злоумышленникам достичь своих целей", - сказал Салджуки.
Раскрытие также происходит по мере того, как спонсируемые Северной Кореей группы, такие как Lazarus, развиваются и реорганизуются, чтобы обмениваться инструментами и тактиками друг с другом, стирая границы, даже несмотря на то, что они продолжают создавать специализированные вредоносные программы для Linux и macOS.
"Считается, что участники кампаний [3CX и JumpCloud] разрабатывают различные наборы инструментов и делятся ими, и что дальнейшие кампании вредоносного ПО для macOS неизбежны", - сказал в прошлом месяце исследователь безопасности SentinelOne Фил Стоукс.
Jamf Threat Labs, которая раскрыла подробности о вредоносном ПО, заявила, что оно используется в рамках кампании RustBucket malware, о которой стало известно ранее в этом году.
"Основываясь на предыдущих атаках, проведенных BlueNoroff, мы подозреваем, что это вредоносное ПО было поздней стадией многоступенчатого вредоносного ПО, поставляемого с помощью социальной инженерии", - сказал исследователь безопасности Фердоус Салджуки в отчете, опубликованном в Hacker News.
BlueNoroff, также отслеживаемый под именами APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima и TA444, является подчиненным элементом печально известной Lazarus Group, которая специализируется на финансовых преступлениях, нацеленных на банки и криптосектор как способ уклонения от санкций и получения незаконной прибыли для режима.
Разработка появилась через несколько дней после того, как Elastic Security Labs раскрыла использование Lazarus Group нового вредоносного ПО для macOS под названием KANDYKORN для атаки на блокчейн-инженеров.
Также с субъектом угрозы связана вредоносная программа для macOS, известная как RustBucket, бэкдор на базе AppleScript, предназначенный для извлечения полезной нагрузки второго этапа с сервера, контролируемого злоумышленником.
В ходе этих атак потенциальных жертв заманивают под предлогом предложения им инвестиционного совета или работы только для того, чтобы запустить цепочку заражения с помощью документа-приманки.
ObjCShellz, как следует из названия, написан на Objective-C и функционирует как "очень простая удаленная оболочка, которая выполняет команды оболочки, отправленные с сервера злоумышленника".
"У нас нет подробностей о том, против кого это было официально использовано", - сказал Салджуки The Hacker News. "Но, учитывая атаки, которые мы наблюдали в этом году, и название домена, созданного злоумышленниками, оно, скорее всего, было использовано против компании, которая работает в индустрии криптовалют или тесно сотрудничает с ней".
Точный начальный вектор доступа для атаки в настоящее время неизвестен, хотя есть подозрение, что вредоносная программа доставляется в качестве полезной нагрузки после эксплуатации для ручного запуска команд на взломанном компьютере.
"Хотя это вредоносное ПО довольно простое, оно по-прежнему очень функционально и поможет злоумышленникам достичь своих целей", - сказал Салджуки.
Раскрытие также происходит по мере того, как спонсируемые Северной Кореей группы, такие как Lazarus, развиваются и реорганизуются, чтобы обмениваться инструментами и тактиками друг с другом, стирая границы, даже несмотря на то, что они продолжают создавать специализированные вредоносные программы для Linux и macOS.
"Считается, что участники кампаний [3CX и JumpCloud] разрабатывают различные наборы инструментов и делятся ими, и что дальнейшие кампании вредоносного ПО для macOS неизбежны", - сказал в прошлом месяце исследователь безопасности SentinelOne Фил Стоукс.
