K. Kore'nin BlueNoroff'u, ObjCShellz Kötü Amaçlı Yazılımıyla macOS Makinelerini Hacklemekle Suçlandı

Kötü amaçlı yazılımın ayrıntılarını açıklayan Jamf Threat Labs, bu yılın başlarında ortaya çıkan RustBucket kötü amaçlı yazılım kampanyasının bir parçası olarak kullanıldığını söyledi.

Güvenlik araştırmacısı Ferdous Saljooki, paylaşılan bir raporda, "BlueNoroff tarafından gerçekleştirilen önceki saldırılara dayanarak, bu kötü amaçlı yazılımın sosyal mühendislik yoluyla sunulan çok aşamalı bir kötü amaçlı yazılımın geç bir aşaması olduğundan şüpheleniyoruz" dedi.

APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ve TA444 isimleri altında da izlenen BlueNoroff, yaptırımlardan kaçınmanın ve rejim için yasa dışı kar elde etmenin bir yolu olarak bankaları ve kripto sektörünü hedef alan mali suçlarda uzmanlaşmış kötü şöhretli Lazarus Group'un alt bir unsurudur.

Gelişme, Elastic Security Labs'ın Lazarus Group'un blok zinciri mühendislerini hedef almak için KANDYKORN adlı yeni bir macOS kötü amaçlı yazılımı kullandığını açıklamasından günler sonra geldi.

Ayrıca, saldırgan tarafından kontrol edilen bir sunucudan ikinci aşama bir yük almak için tasarlanmış AppleScript tabanlı bir arka kapı olan RustBucket olarak adlandırılan bir macOS kötü amaçlı yazılımı da tehdit aktörüyle bağlantılıdır.

Bu saldırılarda, potansiyel hedefler, onlara yatırım tavsiyesi veya iş teklif etme bahanesiyle cezbedilir, ancak bir tuzak belge aracılığıyla enfeksiyon zincirini başlatır.

ObjCShellz, adından da anlaşılacağı gibi, "saldırgan sunucusundan gönderilen kabuk komutlarını yürüten çok basit bir uzak kabuk" olarak işlev gören Objective-C'de yazılmıştır.

Jamf Threat Labs direktörü Jaron Bradley, The Hacker News'e verdiği demeçte, "Resmi olarak kime karşı kullanıldığına dair ayrıntılara sahip değiliz" dedi. "Ancak bu yıl gördüğümüz saldırılar ve saldırganların oluşturduğu alan adının adı göz önüne alındığında, muhtemelen kripto para birimi endüstrisinde çalışan veya onunla yakın çalışan bir şirkete karşı kullanıldı."

Saldırının kesin ilk erişim vektörü şu anda bilinmemekle birlikte, kötü amaçlı yazılımın, saldırıya uğramış makinede komutları manuel olarak çalıştırmak için istismar sonrası bir yük olarak teslim edildiğinden şüpheleniliyor.

Saljooki, "Oldukça basit olmasına rağmen, bu kötü amaçlı yazılım hala çok işlevsel ve saldırganların hedeflerine ulaşmalarına yardımcı olacak" dedi.

Açıklama ayrıca, Lazarus gibi Kuzey Kore sponsorluğundaki grupların, Linux ve macOS için ısmarlama kötü amaçlı yazılımlar oluşturmaya devam ederken bile, araçları ve taktikleri birbirleriyle paylaşmak için gelişip yeniden organize oldukları, sınırları bulanıklaştırdıkları bir dönemde geliyor.

SentinelOne güvenlik araştırmacısı Phil Stokes geçen ay yaptığı açıklamada, "[3CX ve JumpCloud] kampanyalarının arkasındaki aktörlerin çeşitli araç setleri geliştirip paylaştığına ve daha fazla macOS kötü amaçlı yazılım kampanyasının kaçınılmaz olduğuna inanılıyor" dedi.

Kuzey Kore'nin bilgisayar korsanlığı çılgınlığı, ABD, Güney Kore ve Japonya'yı el ele vermeye ve öncelikle "Kuzey Kore'nin silah gelişimi için önemli bir finansman kaynağı olarak kötüye kullanılan siber faaliyetlerle" mücadele etmek için üçlü bir üst düzey siber danışma grubu kurmaya sevk etti.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği