Le groupe d’États-nations lié à la Corée du Nord appelé BlueNoroff a été attribué à une souche de malware macOS jusqu’alors non documentée baptisée ObjCShellz.
Jamf Threat Labs, qui a divulgué les détails du malware, a déclaré qu’il était utilisé dans le cadre de la campagne de malware RustBucket, révélée plus tôt cette année.
« Sur la base des attaques précédentes menées par BlueNoroff, nous soupçonnons que ce malware était une étape tardive d’un malware en plusieurs étapes diffusé via l’ingénierie sociale », a déclaré le chercheur en sécurité Ferdous Saljooki dans un communiqué. rapport partagé avec The Hacker News.
BlueNoroff, également suivi sous les noms d’APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima et TA444, est un élément subordonné du tristement célèbre groupe Lazarus spécialisé dans la criminalité financière, ciblant les banques et le secteur de la cryptographie afin d’échapper aux sanctions et de générer des revenus. profits illicites pour le régime.
Ce développement intervient quelques jours après qu’Elastic Security Labs a révélé l’utilisation par le groupe Lazarus d’un nouveau malware macOS appelé KANDYKORN pour cibler les ingénieurs blockchain.
Un malware macOS appelé RustBucket est également lié à l’acteur malveillant. Il s’agit d’une porte dérobée basée sur AppleScript conçue pour récupérer une charge utile de deuxième étape à partir d’un serveur contrôlé par un attaquant.
Dans ces attaques, les cibles potentielles sont attirées sous prétexte de leur offrir des conseils en investissement ou un emploi, pour ensuite relancer la chaîne d’infection au moyen d’un document leurre.
ObjCShellz, comme son nom l’indique, est écrit en Objective-C et fonctionne comme un « shell distant très simple qui exécute les commandes shell envoyées par le serveur attaquant ».
« Nous n’avons pas de détails sur les personnes contre lesquelles il a été officiellement utilisé », a déclaré Saljooki à The Hacker News. « Mais étant donné les attaques que nous avons vues cette année et le nom du domaine créé par les attaquants, il a probablement été utilisé contre une entreprise qui travaille dans le secteur des crypto-monnaies ou qui travaille en étroite collaboration avec elle. »
Le vecteur d’accès initial exact de l’attaque n’est actuellement pas connu, même si l’on soupçonne que le logiciel malveillant est fourni sous forme de charge utile post-exploitation pour exécuter manuellement des commandes sur la machine piratée.
« Bien qu’assez simple, ce malware reste très fonctionnel et aidera les attaquants à atteindre leurs objectifs », a déclaré Saljooki.
Cette révélation intervient également alors que des groupes parrainés par la Corée du Nord comme Lazarus évoluent et se réorganisent pour partager des outils et des tactiques entre eux, brouillant les frontières, même s’ils continuent de créer des logiciels malveillants sur mesure pour Linux et macOS.
« On pense que les acteurs derrière [the 3CX and JumpCloud] » Les campagnes développent et partagent une variété d’ensembles d’outils et que d’autres campagnes contre les logiciels malveillants macOS sont inévitables », Phil Stokes, chercheur en sécurité chez SentinelOne. dit le mois dernier.