Peretas negara Korea Utara telah meluncurkan malware Mac baru yang menargetkan pengguna di AS dan Jepang, yang oleh para peneliti dianggap “membodohi” tetapi efektif.

Salah satu cabang dari Grup Lazarus DPRK yang terkenal kejam, BlueNoroff telah dikenal mengumpulkan dana untuk rezim Kim dengan menargetkan lembaga keuangan — bank, perusahaan modal ventura, pertukaran mata uang kripto dan startup — dan individu yang menggunakannya.

Sejak awal tahun ini, para peneliti dari Jamf Threat Labs telah melacak kampanye BlueNoroff yang mereka sebut “RustBucket,” yang menargetkan sistem MacOS. Di dalam sebuah blog yang diterbitkan pada hari Selasa, mereka mengungkapkan domain berbahaya baru yang meniru pertukaran kripto, dan shell terbalik yang belum sempurna yang disebut “ObjCShellz,” yang digunakan kelompok tersebut untuk menyusupi target baru.

“Kami telah melihat banyak tindakan dari kelompok ini selama beberapa bulan terakhir – bukan hanya kami, tetapi juga beberapa perusahaan keamanan,” kata Jaron Bradley, direktur Jamf Threat Labs. “Fakta bahwa mereka mampu mencapai tujuan mereka menggunakan malware yang bodoh ini sungguh luar biasa.”

Peretas Korea Utara Menargetkan MacOS

Bendera merah pertama ObjCShellz adalah domain yang terhubung dengannya: swissborg[.]blog, dengan alamat yang sangat mirip dengan swissborg.com/blog, sebuah situs yang dijalankan oleh pertukaran mata uang kripto yang sah SwissBorg.

Hal ini konsisten dengan taktik rekayasa sosial terbaru BlueNoroff. Di dalam kampanye RustBucket yang sedang berlangsung, pelaku ancaman telah menjangkau target dengan menyamar sebagai perekrut atau investor, memberikan tawaran atau potensi kemitraan. Mempertahankan tipu muslihat ini sering kali melibatkan pendaftaran domain command-and-control (C2) yang meniru situs web keuangan yang sah agar dapat berbaur dengan aktivitas jaringan biasa, jelas para peneliti.

Contoh di bawah ini diambil oleh tim Jamf dari situs dana modal ventura yang sah, dan digunakan oleh BlueNoroff dalam upaya phishingnya.

Setelah akses awal, muncullah Malware berbasis MacOS — tren yang sedang berkembang dan spesialisasi terbaru BlueNoroff.

“Mereka menargetkan pengembang dan individu yang memegang mata uang kripto ini,” jelas Bradley, dan, dengan cara oportunistik, kelompok tersebut tidak puas hanya menargetkan mereka yang menggunakan satu sistem operasi. “Anda bisa saja mencari korban di komputer Windows, namun seringkali pengguna tersebut menggunakan Mac. Jadi jika Anda memilih untuk tidak menargetkan platform tersebut, maka Anda berpotensi memilih untuk tidak menerima sejumlah besar mata uang kripto yang dapat dicuri.”

Namun dari sudut pandang teknis, ObjCShellz benar-benar sederhana — shell terbalik sederhana untuk komputer Apple, memungkinkan eksekusi perintah dari server penyerang. (Para peneliti menduga alat ini digunakan pada tahap akhir serangan multi-tahap.)

Biner tersebut diunggah satu kali dari Jepang pada bulan September, dan tiga kali dari IP yang berbasis di AS pada pertengahan Oktober, tambah peneliti Jamf.

Mengingat keberhasilan BlueNoroff dalam mencuri kripto, Bradley mendesak pengguna Mac untuk tetap waspada seperti saudara-saudaranya di Windows.

“Ada banyak pemahaman yang salah tentang bagaimana Mac pada dasarnya aman, dan hal tersebut pasti ada benarnya,” katanya. “Mac adalah sistem operasi yang aman. Namun jika menyangkut rekayasa sosial, siapa pun rentan menjalankan sesuatu yang berbahaya di komputernya.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware