Исследователи обнаружили, что северокорейская группировка BlueNorOff атакует пользователей macOS с помощью новой малвари ObjCShellz, способной открывать remote shell’ы на скомпрометированных устройствах.
BlueNorOff — финансово мотивированная хакерская группа, в основном известная своими атаками на криптовалютные биржи и финансовые организации, включая венчурные предприятия и банки по всему миру.
Новый вредонос, обнаруженный аналитиками из компании Jamf, взаимодействует с доменом swissborg[.]blog, контролируемым злоумышленниками, зарегистрированным 31 мая 2023 года и размещенным на 104.168.214[.]151 (этот IP-адрес известен, как входящий в инфраструктуру BlueNoroff).
Этот управляющий сервер имитирует сайт легальной криптовалютной биржи, расположенной по адресу swissborg.com/blog. Все данные, передаваемые на сервер хакеров, разбиваются на две строки, а затем собираются обратно для обхода статического анализа.
«Использование этого домена в значительной степени совпадает с активностью, которую мы наблюдали со стороны BlueNoroff в рамках кампании Rustbucket, — пишут исследователи. — В рамках этой кампании злоумышленники связываются со своей целью, утверждая, что заинтересованы в партнерстве или прикидываются инвесторами и рекрутерами. BlueNoroff часто создают домены, которые выглядит как принадлежащие легальным криптовалютным компаниями, чтобы смешаться с обычной сетевой активностью».
Малварь ObjCShellz написана на Objective-C и с точки зрения кода существенно отличается от других полезных нагрузок, использовавшихся в предыдущих атаках группировки. Вредонос предназначен для открытия remote shell’ов в скомпрометированных системах под управлением macOS. При этом пока неизвестно, как он изначально проникает на машины жертв.
На этапе пост-эксплуатации злоумышленники использовали ObjCShellz для выполнения команд на зараженных компьютерах Mac на базе Intel и Arm.
«Хотя эта вредоносная программа довольно проста, она все же очень эффективна и помогает злоумышленникам выполнять поставленные задачи. Основываясь на предыдущих атаках BlueNoroff , мы подозреваем, что эта вредоносная программа представляет собой поздний этап некой многоступенчатой атаки, осуществляемой с помощью социальной инженерии, — говорят эксперты. — Она позволяет злоумышленникам давать инструкции macOS с управляющего сервера и собирать ответы. Вредоносная программа может делать почти все то же самое, что и пользователь, но в фоновом режиме».
Напомним, что в прошлом году «Лаборатория Касперского» связала BlueNoroff с длинной чередой атак, направленных на криптовалютные стартапы по всему миру, в том числе в США, России, Китае, Индии, Великобритании, Украине, Польше, Чехии, ОАЭ, Сингапуре, Эстонии, Вьетнаме, Мальте, Германии и Гонконге.
В 2019 году Министерство финансов США, которое считает BlueNoroff подгруппой Lazarus, ввело санкции против группировки и двух других северокорейских хак-групп (Lazarus Group и Andariel). Американские власти заявляли, что эти «правительственные» хакеры из Северной Кореи осуществили ряд разрушительных атак на критическую инфраструктуру США, а также похитили сотни миллионов долларов у финансовых учреждений по всему миру. Похищенные средства якобы использовались северокорейским правительством для финансирования программ вооружений и создания ракет.
