De aan Noord-Korea gelieerde natiestaatgroep BlueNoroff wordt toegeschreven aan een voorheen ongedocumenteerde macOS-malwaresoort genaamd ObjCShellz.
Jamf Threat Labs, dat details over de malware heeft vrijgegeven, zegt dat deze wordt gebruikt als onderdeel van de RustBucket-malwarecampagne, die eerder dit jaar aan het licht kwam.
“Gebaseerd op eerdere aanvallen uitgevoerd door BlueNoroff, vermoeden we dat deze malware zich in een laat stadium bevond binnen een meerfasige malware die via social engineering werd geleverd”, zei beveiligingsonderzoeker Ferdous Saljooki in een rapport gedeeld met The Hacker News.
BlueNoroff, ook gevolgd onder de namen APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima en TA444, is een ondergeschikt onderdeel van de beruchte Lazarus Group die gespecialiseerd is in financiële misdaad en zich richt op banken en de cryptosector als een manier om sancties te omzeilen en illegale winsten voor het regime.
De ontwikkeling komt dagen nadat Elastic Security Labs bekendmaakte dat de Lazarus Group een nieuwe macOS-malware genaamd KANDYKORN gebruikte om zich te richten op blockchain-ingenieurs.
Ook gekoppeld aan de bedreigingsactor is een macOS-malware die RustBucket wordt genoemd, een op AppleScript gebaseerde achterdeur die is ontworpen om een tweede fase-payload op te halen van een door een aanvaller bestuurde server.
Bij deze aanvallen worden potentiële doelwitten gelokt onder het voorwendsel hen beleggingsadvies of een baan aan te bieden, om vervolgens de infectieketen op gang te brengen door middel van een lokdocument.
ObjCShelz is, zoals de naam al doet vermoeden, geschreven in Objective-C en functioneert als een “zeer eenvoudige externe shell die shell-opdrachten uitvoert die vanaf de server van de aanvaller worden verzonden.”
“We hebben geen details over tegen wie het officieel werd gebruikt”, vertelde Saljooki aan The Hacker News. “Maar gezien de aanvallen die we dit jaar hebben gezien, en de naam van het domein dat de aanvallers hebben gecreëerd, werd het waarschijnlijk gebruikt tegen een bedrijf dat in de cryptovaluta-industrie werkt of er nauw mee samenwerkt.”
De exacte initiële toegangsvector voor de aanval is momenteel niet bekend, hoewel vermoed wordt dat de malware wordt geleverd als een post-exploitatielading om handmatig opdrachten uit te voeren op de gehackte machine.
“Hoewel vrij eenvoudig, is deze malware nog steeds zeer functioneel en zal hij aanvallers helpen hun doelstellingen uit te voeren”, aldus Saljooki.
De onthulling komt ook op het moment dat door Noord-Korea gesponsorde groepen zoals Lazarus zich ontwikkelen en reorganiseren om tools en tactieken met elkaar te delen, waardoor de grenzen vervagen, zelfs terwijl ze doorgaan met het bouwen van op maat gemaakte malware voor Linux en macOS.
“Er wordt aangenomen dat de acteurs erachter zitten [the 3CX and JumpCloud] campagnes ontwikkelen en delen een verscheidenheid aan toolsets en dat verdere macOS-malwarecampagnes onvermijdelijk zijn”, zei SentinelOne-beveiligingsonderzoeker Phil Stokes vorige maand.
