Pohjois-Korean valtion hakkerit ovat julkaisseet uuden Mac-haittaohjelman, joka on kohdistettu käyttäjiin Yhdysvalloissa ja Japanissa ja jota tutkijat luonnehtivat "tyhmäksi" mutta tehokkaaksi.
Korean demokraattisen kansantasavallan pahamaineisen Lazarus Groupin haara, BlueNoroff on tunnettu kerätä rahaa Kimin hallinnolle kohdentamalla rahoituslaitokset – pankit, riskipääomayritykset, kryptovaluuttapörssejä ja startupeja – ja niitä käyttävät henkilöt.
Aiemmin tänä vuonna Jamf Threat Labsin tutkijat ovat seuranneet BlueNoroff-kampanjaa, jota he kutsuvat nimellä "RustBucket", joka on kohdistettu MacOS-järjestelmiin. Sisään tiistaina julkaistu blogi, he paljastivat uuden haitallisen verkkotunnuksen, joka matkii kryptovaihtoa, ja alkeellisen käänteisen kuoren nimeltä "ObjCShellz", jota ryhmä käyttää uusien kohteiden vaarantamiseen.
"Olemme nähneet paljon tämän ryhmän toimia viime kuukausina - emme vain me, vaan useat turvallisuusyritykset", sanoo Jaron Bradley, Jamf Threat Labsin johtaja. "Se tosiasia, että he pystyvät saavuttamaan tavoitteensa käyttämällä tätä mykistettyä haittaohjelmaa, on ehdottomasti huomionarvoista."
Pohjois-Korean hakkerit kohdistuvat MacOS:ään
ObjCShellzin ensimmäinen punainen lippu oli verkkotunnus, johon se liittyi: swissborg[.]blogi, jonka osoite on aavemaisen samanlainen kuin swissborg.com/blog, laillisen kryptovaluuttapörssin SwissBorg ylläpitämä sivusto.
Tämä oli sopusoinnussa BlueNoroffin uusimman sosiaalisen suunnittelun taktiikan kanssa. Sisään sen käynnissä oleva RustBucket-kampanjauhkatoimija on tavoittanut kohteita rekrytoijan tai sijoittajan varjolla, esittänyt tarjouksia tai mahdollistanut kumppanuuden. Huijauksen jatkaminen edellyttää usein laillisia taloussivustoja jäljittelevien komento- ja ohjausverkkotunnusten (C2) rekisteröintiä, jotta ne sulautuisivat tavalliseen verkkotoimintaan, tutkijat selittivät.
Jamf-tiimi nappasi alla olevan esimerkin laillisen riskipääomarahaston verkkosivustolta, ja BlueNoroff käytti sitä tietojenkalastelutoimissaan.
Ensimmäisen pääsyn jälkeen se tulee MacOS-pohjaiset haittaohjelmat – kasvava trendi ja BlueNoroffin viimeaikainen erikoisuus.
"Ne kohdistuvat kehittäjiin ja henkilöihin, jotka pitävät hallussaan näitä kryptovaluuttoja", Bradley selittää, ja opportunistisella tavalla ryhmä ei ole tyytynyt kohdistamaan vain yhtä käyttöjärjestelmää käyttäviin. "Voit etsiä uhria Windows-tietokoneella, mutta usein nämä käyttäjät tulevat olemaan Macilla. Joten jos päätät olla kohdistamatta kyseiselle alustalle, olet mahdollisesti kieltäytynyt erittäin suuresta määrästä kryptovaluuttoja, jotka voidaan varastaa."
Teknisestä näkökulmasta ObjCShellz on kuitenkin täysin yksinkertainen – yksinkertainen käänteinen kuori Apple-tietokoneille, joka mahdollistaa komennon suorittamisen hyökkääjän palvelimelta. (Tutkijat epäilevät, että tätä työkalua käytetään monivaiheisten hyökkäysten myöhäisissä vaiheissa.)
Binaari ladattiin kerran Japanista syyskuussa ja kolme kertaa yhdysvaltalaiselta IP:ltä lokakuun puolivälissä, Jamfin tutkijat lisäsivät.
BlueNoroffin onnistuneiden kryptovarastusten valossa Bradley kehottaa Mac-käyttäjiä pysymään yhtä valppaina kuin Windows-veljensä.
"On olemassa paljon vääriä käsityksiä siitä, kuinka Macit ovat luonnostaan turvallisia, ja siinä on varmasti totuutta", hän sanoo. "Mac on turvallinen käyttöjärjestelmä. Mutta kun kyse on sosiaalisesta suunnittelusta, kuka tahansa on alttiina suorittamaan jotain haitallista tietokoneessaan."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware
