ObjCShellz-Malware
BlueNoroff, eine nationalstaatliche Gruppe mit Verbindungen zu Nordkorea, wird nun mit einem macOS-Malware-Stamm namens ObjCShellz in Verbindung gebracht, der bisher nicht dokumentiert war. Diese Bedrohung ist ein entscheidender Akteur in der RustBucket-Malware-Kampagne, die erstmals Anfang 2023 aufkam.
Bei der Untersuchung der früheren Aktivitäten von BlueNoroff glauben die Forscher, dass ObjCShellz als späte Komponente in einem mehrstufigen Malware-System fungiert, das durch Social-Engineering-Taktiken verbreitet wird. BlueNoroff, auch bekannt unter verschiedenen Pseudonymen wie APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima und TA444, ist eine Untergruppe der berüchtigten Lazarus Group . Diese auf Finanzkriminalität spezialisierte Hackergruppe nimmt Banken und den Kryptosektor ins Visier, um Sanktionen zu umgehen und unrechtmäßige Gewinne für das Regime zu generieren.
Inhaltsverzeichnis
Die Lazarus APT Group bleibt ein aktiver Bedrohungsakteur im Bereich Cyberkriminalität
Die ObjCShellz-Entdeckung erfolgt kurz nach Berichten über die APT (Advanced Persistent Threat) Lazarus Group, die eine neue macOS-Malware namens KANDYKORN einsetzt, um Blockchain-Ingenieure anzugreifen. Eine weitere macOS-Malware, die mit diesem Bedrohungsakteur in Zusammenhang steht, ist RustBucket. Dabei handelt es sich um eine AppleScript-basierte Hintertür, die darauf ausgelegt ist, eine Nutzlast der zweiten Stufe von einem vom Angreifer kontrollierten Server abzurufen.
Diese Angriffe folgen einem Muster, bei dem potenzielle Ziele mit dem Versprechen einer Anlageberatung oder einer Arbeitsmöglichkeit angelockt werden. Die wahre Absicht besteht jedoch darin, den Infektionsprozess durch die Verwendung eines Täuschungsdokuments einzuleiten.
Die ObjCShellz-Malware ist einfach und dennoch effektiv
Diese Malware trägt den Namen ObjCShellz, weil sie in Objective-C erstellt wurde, und dient als einfache Remote-Shell. Es führt Shell-Befehle aus, die es vom Server des Angreifers erhält.
Den Forschern fehlen konkrete Informationen zu den offiziellen Zielen von ObjCShellz. Angesichts der beobachteten Angriffe im Jahr 2023 und des von den Angreifern erstellten Domainnamens ist es jedoch wahrscheinlich, dass die Malware gegen ein Unternehmen eingesetzt wurde, das mit der Kryptowährungsbranche verbunden oder eng mit ihr verbunden ist.
Die genaue Methode des Erstzugriffs für den Angriff ist derzeit noch unbekannt. Es besteht der Verdacht, dass die Malware als Post-Exploitation-Payload übermittelt wird, die die manuelle Ausführung von Befehlen auf dem kompromittierten Rechner ermöglicht. Trotz seiner Einfachheit erweist sich ObjCShellz als hochfunktionell und leistet den Angreifern gute Dienste bei der Erreichung ihrer Ziele.
Forscher warnen, dass sich Hackergruppen mit Bezug zu Nordkorea weiterentwickeln
Die Enthüllung über ObjCShellz fällt mit der Transformation und Umstrukturierung von von Nordkorea geförderten Gruppen wie Lazarus zusammen. Diese Gruppen arbeiten zunehmend zusammen, um Tools und Taktiken auszutauschen, wodurch eine unscharfe Landschaft entsteht, während sie weiterhin maßgeschneiderte Malware für Linux und macOS entwickeln.
Experten glauben, dass die Unternehmen, die Kampagnen orchestrieren, wie 3CX und JumpCloud, aktiv an der Entwicklung und dem Austausch verschiedener Toolsets beteiligt sind. Diese Zusammenarbeit deutet darauf hin, dass weitere macOS-Malware-Kampagnen mit verbesserten und optimierten Malware-Tools in Sicht sein könnten.
