I ricercatori di sicurezza informatica hanno scoperto un nuovo ceppo di malware macOS, ObjCShellz, attribuendolo al gruppo di stati-nazione legato alla Corea del Nord noto come BlueNoroff. Questo attore della minaccia è stato collegato a cinque ransomware-as-a-service (RAAS) programmi negli ultimi quattro anni, che mostra una storia di criminalità informatica ampia e di grande impatto.
Campagna malware ObjCShellz e RustBucket
ObjCShellz è stato identificato come un componente della campagna malware RustBucket, che ha attirato l'attenzione all'inizio di quest'anno. Laboratori delle minacce Jamf, responsabile della divulgazione di dettagli su ObjCShellz, far luce sul suo utilizzo come parte di questa sofisticata campagna malware orchestrata da BlueNoroff.
Operando sotto vari alias come APT38, Nichel Gladstone, Nevischio di zaffiro, Chollima polvere di stelle, e TA444, BlueNoroff è un sottogruppo del famigerato Lazarus Group. Con un focus sui crimini finanziari, prendendo di mira soprattutto le banche e il settore delle criptovalute, BlueNoroff mira ad eludere le sanzioni e generare profitti illeciti per il regime nordcoreano.
ObjCShellz: Una shell remota semplice ma potente
ObjCShellz, codificato in Objective-C, funziona come una shell remota in grado di eseguire comandi inviati dal server dell'aggressore. Nonostante la sua apparente semplicità, questo malware funge da componente in fase avanzata all'interno di un attacco in più fasi, spesso forniti attraverso tattiche di ingegneria sociale.
Mentre gli obiettivi esatti di ObjCShellz rimangono sconosciuti, le funzionalità del malware suggeriscono un probabile focus sulle aziende del settore delle criptovalute o su settori strettamente correlati. Le intricate campagne di BlueNoroff in genere attirano le vittime con promesse di consulenza sugli investimenti o opportunità di lavoro prima di avviare la catena di infezione con un documento esca.
Il panorama collaborativo dei gruppi sponsorizzati dalla Corea del Nord
La divulgazione di ObjCShellz segue le recenti rivelazioni sull'utilizzo da parte del Gruppo Lazarus di un altro malware macOS, KANDYKORN, prendendo di mira gli ingegneri blockchain. La natura interconnessa di Gruppi sponsorizzati dalla Corea del Nord, condividere strumenti e tattiche, indica un approccio collaborativo e in evoluzione tra di loro.
In risposta alle crescenti attività informatiche della Corea del Nord, gli Stati Uniti., Corea del Sud, e il Giappone hanno istituito un gruppo consultivo informatico trilaterale di alto livello. L’obiettivo principale è contrastare le attività informatiche che costituiscono un’importante fonte di finanziamento per lo sviluppo delle armi della Corea del Nord.