Поделиться
Северокорейские хакеры начали взламывать макбуки новым трояном, простым, но эффективным
Группировку BlueNorOff, специализирующуюся на краже финансовых активов, застигли за использованием нового вредоноса, который устанавливает удаленные шелл-соединения на компьютерах под управлением macOS.
Финансово-державная мотивация
Северокорейская кибергруппировка BlueNorOff атакует пользователей компьютеров Mac с помощью нового самописного вредоноса ObjCSheellz. Эта программа позволяет устанавливать удаленные шелл-соединения со скомпрометированными устройствами, пишет издание Bleeping Computer.
BlueNorOff называют «финансово-мотивированной» группировкой, но лишь потому, что она специализируется на атаках на криптобиржи и финансовые организации по всему миру.
По мнению Bleeping Computer, никаких самостоятельных группировок, не связанных с властями и спецслужбами, в Северной Корее нет и быть не может. BlueNorOff, очевидно, занимается добычей финансовых средств для обложенного санкциями государства. Средства потом, скорее всего, будут израсходованы на программы вооружений.
Исследователи фирмы Jamf Threat Labs перехватили и исследовали ключевой вредоносный компонент ObjCSheellz. Им удалось установить, что первым делом вредонос устанавливает соединение с доменом swissborg[.]blog, зарегистрированном 31 мая и размещенном адресной зоне, относящейся к инфраструктуре BlueNorOff (точный адрес - 104.168.214[.]151).
Командный сервер имитирует вебсайты легитимной криптобиржи, располагающейся по адресу swissborg.com/blog (другая доменная зона).
Все данные, поступающие на сервер, разделяются на два потока и «скраиваются» вместе на другом конце канала, чтобы избежать обнаружения по статическим сигнатурам.
По словам специалистов Jamf Threat Labs, этот же домен использовался ходе другой кампании - Rustbucket.
«В ходе нынешней кампании операторы выходят на связь с жертвой, заявляя, что они заинтересованы в партнерстве, или предлагая что-нибудь выгодное под видом инвестора или рекрутера. BlueNorOff часто создают домен, который выглядит так, будто принадлежит легитимной криптокомпании, так, чтобы «слиться» с его сетевой активностью», - приводит Bleeping Computer слова представителя Jamf.
Очевидная новинка
Что же касается непосредственно вредоноса, создающего бэкдор на зараженном компьютере Apple, то ObjCShellz - это программа, написанная на Objective-C и существенно отличающаяся от других вредоносов BlueNorOff. В Jamf указывают, что она довольно проста, но эффективна. По данным экспертов, ее используют на поздней стадии атаки, которая сама по себе является многоступенчатой и включает другие, не перехваченные пока, инструменты.
Каким именно образом она попадает в среду macOS, пока остается невыясненным. Хотя вероятнее всего, основную роль тут играет «классическая» социальная инженерия.
Вредонос одинаково эффективно функционирует под вариантами macOS для процессоров Intel и Arm.
В прошлом году «Лаборатория Касперского» увязала BlueNorOff с длинной вереницей атак на криптостартапы по всему миру, в том числе в России, США, Китае, Индии, Великобритании, Украине, Польше, Чехии, ОАЭ, Сингапуре, Эстонии, Мальте, Вьетнаме, Германии и Гонконге.
Четыре года назад в ООН было заявлено, что северокорейские «госхакеры» умыкнули по меньшей мере 2 млрд долларов у своих жертв, среди которых - банки и криптобиржи. Сейчас эта сумма определенно намного больше.
BlueNorOff и Lazarus совместно осуществили и крупнейшее криптоограбление в истории, похитив с криптомоста сети Axi Infinity Ronin 173,6 тыс. единиц Ethereum и 25,5 млн токенов USDC, что на тот момент составляло порядка $617 млн.
«Эти ограбления будут продолжаться до тех пор, пока сохраняется антагонизм между Северной Кореей и другими странами», - полагает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее мнению, эти APT-группировки не проявляют особой разборчивости в выборе жертв, так что даже условные союзники оказываются среди жертв их атак. «Единственный способ защититься от них - укреплять локальную безопасность и добиваться, чтобы люди не оказывались самым уязвимым местом в инфраструктуре. Социальная инженерия тем менее эффективна, чем лучше подготовлены к ней потенциальные жертвы», - подытожила Анастасия Мельникова.
Короткая ссылка
