Η ομάδα απειλών BlueNorOff που υποστηρίζεται από τη Βόρεια Κορέα στοχεύει πελάτες της Apple με νέο
κακόβουλο λογισμικό
macOS που παρακολουθείται ως ObjCSshellz και μπορεί να ανοίγει απομακρυσμένα κελύφη σε παραβιασμένες συσκευές.
Το BlueNorOff είναι μια ομάδα hacking με οικονομικά κίνητρα, γνωστή για τις επιθέσεις σε ανταλλακτήρια κρυπτονομισμάτων και χρηματοοικονομικούς οργανισμούς, όπως εταιρείες επιχειρηματικών κεφαλαίων και τράπεζες σε όλο τον κόσμο.
Το κακόβουλο ωφέλιμο φορτίο που παρατηρήθηκε από αναλυτές κακόβουλου λογισμικού της Jamf (με ετικέτα
ProcessRequest
) επικοινωνεί με το
swissborg[.]blog
ένας τομέας ελεγχόμενος από εισβολείς που καταχωρήθηκε στις 31 Μαΐου και φιλοξενήθηκε στο
104.168.214[.]151
(ένα τμήμα διεύθυνσης IP της υποδομής BlueNorOff).
Αυτός ο τομέας εντολών και ελέγχου (C2) μιμείται τους ιστότοπους μιας νόμιμης ανταλλαγής κρυπτονομισμάτων που διατίθεται στη διεύθυνση swissborg.com/blog. Όλα τα δεδομένα που μεταφέρονται στον διακομιστή χωρίζονται σε δύο συμβολοσειρές και συρράπτονται μεταξύ τους στο άλλο άκρο για να αποφευχθεί η ανίχνευση που βασίζεται σε στατικά.
“Η χρήση αυτού του τομέα ευθυγραμμίζεται σε μεγάλο βαθμό με τη δραστηριότητα που έχουμε δει από το BlueNorOff σε αυτό που παρακολουθεί η Jamf Threat Labs ως η καμπάνια Rustbucket”, οι ερευνητές ασφαλείας
είπε
.
“Σε αυτήν την καμπάνια, ο ηθοποιός προσεγγίζει έναν στόχο που ισχυρίζεται ότι ενδιαφέρεται να συνεργαστεί ή να του προσφέρει κάτι ωφέλιμο υπό το πρόσχημα ενός επενδυτή ή κυνηγού κεφαλών. Το BlueNorOff συχνά δημιουργεί έναν τομέα που μοιάζει σαν να ανήκει σε μια νόμιμη εταιρεία κρυπτογράφησης στο προκειμένου να εναρμονιστεί με τη δραστηριότητα του δικτύου.”
Mac με κερκόπορτα
Το ObjCSshellz είναι ένα κακόβουλο λογισμικό που βασίζεται στο Objective-C, αρκετά διαφορετικό από άλλα κακόβουλα ωφέλιμα φορτία που αναπτύχθηκαν σε προηγούμενες επιθέσεις BlueNorOff. Έχει επίσης σχεδιαστεί για να ανοίγει απομακρυσμένα κελύφη σε παραβιασμένα συστήματα macOS μετά την απόρριψή τους χρησιμοποιώντας ένα άγνωστο διάνυσμα αρχικής πρόσβασης.
Οι εισβολείς το χρησιμοποίησαν κατά το στάδιο μετά την εκμετάλλευση για να εκτελέσουν εντολές σε μολυσμένους υπολογιστές Intel και Arm Mac.
“Αν και αρκετά απλό, αυτό το κακόβουλο λογισμικό εξακολουθεί να είναι πολύ λειτουργικό και θα βοηθήσει τους επιτιθέμενους να επιτύχουν τους στόχους τους. Αυτό φαίνεται να είναι ένα θέμα με το πιο πρόσφατο κακόβουλο λογισμικό που έχουμε δει να προέρχεται από αυτήν την ομάδα APT”, είπε ο Jamf.
“Με βάση προηγούμενες επιθέσεις που πραγματοποιήθηκαν από το BlueNorOff, υποπτευόμαστε ότι αυτό το κακόβουλο λογισμικό ήταν ένα καθυστερημένο στάδιο σε ένα κακόβουλο λογισμικό πολλαπλών σταδίων που παραδόθηκε μέσω κοινωνικής μηχανικής.”
Πέρυσι, η Kaspersky συνέδεσε τους χάκερ BlueNorOff με μια μακρά σειρά επιθέσεων που στοχεύουν νεοφυείς επιχειρήσεις κρυπτονομισμάτων σε όλο τον κόσμο, συμπεριλαμβανομένων των ΗΠΑ, Ρωσία, Κίνα, Ινδία,
Ηνωμένο Βασίλειο
, Ουκρανία, Πολωνία, Τσεχία, Ηνωμένα Αραβικά Εμιράτα, Σιγκαπούρη, Εσθονία, Βιετνάμ, Μάλτα, Γερμανία και Χονγκ Κονγκ.
Το 2019, το Υπουργείο Οικονομικών των ΗΠΑ επέβαλε κυρώσεις στο BlueNorOff και σε δύο άλλες βορειοκορεατικές ομάδες χάκερ (Lazarus Group και Andariel) για διοχέτευση κλεμμένων χρηματοοικονομικών περιουσιακών στοιχείων στην κυβέρνηση της Βόρειας Κορέας.
Κρατικοί χάκερ της Βόρειας Κορέας είχαν ήδη κλέψει περίπου 2 δισεκατομμύρια δολάρια σε τουλάχιστον 35
κυβερνοεπιθέσεις
με στόχο τράπεζες και ανταλλακτήρια κρυπτονομισμάτων σε περισσότερες από δώδεκα χώρες, σύμφωνα με
Έκθεση των Ηνωμένων Εθνών
από πριν τέσσερα χρόνια.
Το FBI απέδωσε επίσης τη μεγαλύτερη εισβολή κρυπτογράφησης που έγινε ποτέ, την παραβίαση της γέφυρας δικτύου Ronin του Axie Infinity, στους χάκερ Lazarus και BlueNorOff, οι οποίοι έκλεψαν 173.600 μάρκες
Ethereum
και 25,5 εκατομμύρια USDC αξίας άνω των 617 εκατομμυρίων δολαρίων εκείνη την εποχή.
VIA:
bleepingcomputer.com