K. Kore'nin BlueNoroff'u, ObjCShellz Kötü Amaçlı Yazılımıyla macOS Makinelerini Hacklemekle Suçlandı
BlueNoroff adlı Kuzey Kore bağlantılı ulus devlet grubu, ObjCShellz adlı daha önce belgelenmemiş bir macOS kötü amaçlı yazılım türüne atfedildi.
Kötü amaçlı yazılımın ayrıntılarını açıklayan Jamf Threat Labs, bu yılın başlarında ortaya çıkan RustBucket kötü amaçlı yazılım kampanyasının bir parçası olarak kullanıldığını söyledi.
Güvenlik araştırmacısı Ferdous Saljooki, paylaşılan bir raporda, "BlueNoroff tarafından gerçekleştirilen önceki saldırılara dayanarak, bu kötü amaçlı yazılımın sosyal mühendislik yoluyla sunulan çok aşamalı bir kötü amaçlı yazılımın geç bir aşaması olduğundan şüpheleniyoruz" dedi.
APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ve TA444 isimleri altında da izlenen BlueNoroff, yaptırımlardan kaçınmanın ve rejim için yasa dışı kar elde etmenin bir yolu olarak bankaları ve kripto sektörünü hedef alan mali suçlarda uzmanlaşmış kötü şöhretli Lazarus Group'un alt bir unsurudur.
Gelişme, Elastic Security Labs'ın Lazarus Group'un blok zinciri mühendislerini hedef almak için KANDYKORN adlı yeni bir macOS kötü amaçlı yazılımı kullandığını açıklamasından günler sonra geldi.
Ayrıca, saldırgan tarafından kontrol edilen bir sunucudan ikinci aşama bir yük almak için tasarlanmış AppleScript tabanlı bir arka kapı olan RustBucket olarak adlandırılan bir macOS kötü amaçlı yazılımı da tehdit aktörüyle bağlantılıdır.
Bu saldırılarda, potansiyel hedefler, onlara yatırım tavsiyesi veya iş teklif etme bahanesiyle cezbedilir, ancak bir tuzak belge aracılığıyla enfeksiyon zincirini başlatır.
ObjCShellz, adından da anlaşılacağı gibi, "saldırgan sunucusundan gönderilen kabuk komutlarını yürüten çok basit bir uzak kabuk" olarak işlev gören Objective-C'de yazılmıştır.
Jamf Threat Labs direktörü Jaron Bradley, The Hacker News'e verdiği demeçte, "Resmi olarak kime karşı kullanıldığına dair ayrıntılara sahip değiliz" dedi. "Ancak bu yıl gördüğümüz saldırılar ve saldırganların oluşturduğu alan adının adı göz önüne alındığında, muhtemelen kripto para birimi endüstrisinde çalışan veya onunla yakın çalışan bir şirkete karşı kullanıldı."
Saldırının kesin ilk erişim vektörü şu anda bilinmemekle birlikte, kötü amaçlı yazılımın, saldırıya uğramış makinede komutları manuel olarak çalıştırmak için istismar sonrası bir yük olarak teslim edildiğinden şüpheleniliyor.
Saljooki, "Oldukça basit olmasına rağmen, bu kötü amaçlı yazılım hala çok işlevsel ve saldırganların hedeflerine ulaşmalarına yardımcı olacak" dedi.
Açıklama ayrıca, Lazarus gibi Kuzey Kore sponsorluğundaki grupların, Linux ve macOS için ısmarlama kötü amaçlı yazılımlar oluşturmaya devam ederken bile, araçları ve taktikleri birbirleriyle paylaşmak için gelişip yeniden organize oldukları, sınırları bulanıklaştırdıkları bir dönemde geliyor.
SentinelOne güvenlik araştırmacısı Phil Stokes geçen ay yaptığı açıklamada, "[3CX ve JumpCloud] kampanyalarının arkasındaki aktörlerin çeşitli araç setleri geliştirip paylaştığına ve daha fazla macOS kötü amaçlı yazılım kampanyasının kaçınılmaz olduğuna inanılıyor" dedi.
Kuzey Kore'nin bilgisayar korsanlığı çılgınlığı, ABD, Güney Kore ve Japonya'yı el ele vermeye ve öncelikle "Kuzey Kore'nin silah gelişimi için önemli bir finansman kaynağı olarak kötüye kullanılan siber faaliyetlerle" mücadele etmek için üçlü bir üst düzey siber danışma grubu kurmaya sevk etti.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı