Pesquisadores de segurança cibernética descobriram uma nova variedade de malware para macOS, ObjCShellz, atribuindo-o ao grupo de estado-nação ligado à Coreia do Norte conhecido como BlueNoroff. Este ator de ameaça foi conectado a cinco ransomware-as-a-service (Raas) programas nos últimos quatro anos, apresentando uma história criminosa cibernética ampla e impactante.
Campanha de malware ObjCShellz e RustBucket
ObjCShellz foi identificado como um componente da campanha de malware RustBucket, que ganhou atenção no início deste ano. Laboratórios de ameaças Jamf, responsável por divulgar detalhes sobre ObjCShellz, esclarecer seu uso como parte desta sofisticada campanha de malware orquestrada pela BlueNoroff.
Operando sob vários aliases, como APT38, Níquel Gladstone, Granizo Safira, Poeira Estelar Chollima, e TA444, BlueNoroff é um subgrupo do infame Grupo Lazarus. Com foco em crimes financeiros, visando especialmente bancos e o setor de criptografia, BlueNoroff pretende contornar sanções e gerar lucros ilícitos para o regime norte-coreano.
ObjCShellz: Um shell remoto simples, mas potente
ObjCShellz, codificado em Objective-C, funciona como um shell remoto capaz de executar comandos enviados do servidor do invasor. Apesar de sua aparente simplicidade, esse malware serve como um componente de estágio final em um ataque de vários estágios, muitas vezes entregue por meio de táticas de engenharia social.
Embora os alvos exatos do ObjCShellz permaneçam não divulgados, as funcionalidades do malware sugerem um foco provável em empresas da indústria de criptomoedas ou setores estreitamente associados. As intrincadas campanhas da BlueNoroff normalmente atraem as vítimas com promessas de aconselhamento de investimento ou oportunidades de emprego antes de iniciar a cadeia de infecção com um documento falso.
O cenário colaborativo dos grupos patrocinados pela Coreia do Norte
A divulgação do ObjCShellz segue revelações recentes do uso de outro malware macOS pelo Grupo Lazarus, KANDYKORN, visando engenheiros de blockchain. A natureza interligada Grupos patrocinados pela Coreia do Norte, compartilhando ferramentas e táticas, indica uma abordagem colaborativa e evolutiva entre eles.
Em resposta à escalada das atividades cibernéticas da Coreia do Norte, os EUA., Coreia do Sul, e o Japão estabeleceram um grupo consultivo cibernético trilateral de alto nível. O objetivo principal é combater as atividades cibernéticas que servem como uma fonte de financiamento significativa para o desenvolvimento de armas da Coreia do Norte..