Kuzey Koreli destekli Bluenoroff Tehdit Grubu, Apple müşterilerini, tehlikeye atılan cihazlarda uzak kabuklar açabilen ObjcShellz olarak izlenen yeni macOS kötü amaçlı yazılımları ile hedefliyor.
Bluenoroff, kripto para birimi borsalarına ve dünya çapında risk sermayesi firmaları ve bankalar gibi finansal kuruluşlara saldırdığı bilinen finansal olarak motive olmuş bir hack grubudur.
JAMF kötü amaçlı yazılım analistleri (etiketli ProcessRequest) tarafından gözlemlenen kötü amaçlı yük, 31 Mayıs'ta kaydedilen ve 104.168.214 [.] 151'de (BlueNoroff Altyapısının bir IP adresi kısmı) barındırılan saldırgan kontrollü bir alan olan Swissborg [.] Blogu ile iletişim kurar.
Bu komut ve kontrol (C2) etki alanı, Swissborg.com/blog adresinde bulunan meşru bir kripto para değişiminin web sitelerini taklit eder. Sunucuya aktarılan tüm veriler iki dizeye ayrılır ve statik tabanlı algılamadan kaçmak için diğer uçta birlikte dikilir.
Güvenlik araştırmacıları, "Bu alanın kullanımı, Bluenoroff'dan Jamf Tehdit Laboratuarlarının Rustbucket kampanyası olarak izlediği etkinliğe büyük ölçüde uyuyor." Dedi.
"Bu kampanyada, aktör bir yatırımcı veya baş avcı kisvesi altında yararlı bir şey sunmakla ilgilendiğini iddia eden bir hedefe ulaşır. ağ etkinliği ile karışma emri. "
Objcshellz, önceki Bluenoroff saldırılarında konuşlandırılan diğer kötü amaçlı yüklerden oldukça farklı olan nesnel C tabanlı bir kötü amaçlı yazılımdır. Ayrıca, bilinmeyen bir başlangıç erişim vektörü kullanılarak düşürüldükten sonra tehlikeye atılan macOS sistemlerinde uzaktan kabukları açmak için tasarlanmıştır.
Saldırganlar, enfekte olmuş Intel ve ARM Mac'lerindeki komutları yürütmek için sömürme sonrası aşamada kullandılar.
Jamf, "Oldukça basit olmasına rağmen, bu kötü amaçlı yazılım hala çok işlevsel ve saldırganların hedeflerini yerine getirmelerine yardımcı olacak. Bu, bu uygun gruptan geldiğini gördüğümüz en son kötü amaçlı yazılımla bir tema gibi görünüyor." Dedi.
"Bluenoroff tarafından yapılan önceki saldırılara dayanarak, bu kötü amaçlı yazılımın sosyal mühendislik yoluyla verilen çok aşamalı bir kötü amaçlı yazılım içinde geç bir aşama olduğundan şüpheleniyoruz."
Geçen yıl Kaspersky, Bluenoroff bilgisayar korsanlarını ABD, Rusya, Çin, Hindistan, İngiltere, Ukrayna, Polonya, Çek Cumhuriyeti, BAE, Singapur, Estonya, Vietnam, Estonya, Vietnam, hedefleyen uzun bir saldırı dizisine bağladı. Malta, Almanya ve Hong Kong.
2019 yılında ABD Hazine, Bluenoroff ve diğer iki Kuzey Kore hack grubunu (Lazarus Group ve Andariel), çalıntı finansal varlıkları Kuzey Kore hükümetine dönüştürmek için onayladı.
Dört yıl önceki bir Birleşmiş Milletler raporuna göre, Kuzey Kore eyaleti hackerları, bir düzineden fazla ülkede bankaları ve kripto para birimi borsasını hedefleyen en az 35 siber saldırıda tahmini 2 milyar dolar çalmıştı.
FBI ayrıca, Axee Infinity'nin Ronin Network Bridge'in hackini, 173.600 Ethereum ve 25.5m USDC jetonlarını çalan Lazarus ve Bluenoroff hacker'larına şimdiye kadarki en büyük kripto hackini, o zaman 617 milyon doların üzerinde.
Yeni 'Metastealer' kötü amaçlı yazılım hedefleri Intel tabanlı MacOS Systems
Yeni MacOS 'Kandykorn' Kötü Yazılım Hedefleri Kripto para birimi mühendisleri
Lazarus Hackers, Signbt kötü amaçlı yazılımını dağıtmak için Dev'i tekrar tekrar ihlal etti
Bilgisayar korsanları arka kapı Rusya Devleti, veri hırsızlığı için endüstriyel kuruluşlar
Romcom kötü amaçlı kimlik avı hedeflenen kadın siyasi liderler zirvesi
Kaynak: Bleeping Computer