ObjCShellz マルウェア

北朝鮮と関係のある国民国家グループである BlueNoroff が、これまで文書化されていなかった ObjCShellz として知られる macOS マルウェア株に関連していることが判明しました。この脅威は、2023 年初頭に初めて出現した RustBucket マルウェア キャンペーンにおいて重要な役割を果たしています。

BlueNoroff の過去の活動を調査すると、研究者らは、ObjCShellz がソーシャル エンジニアリング戦術を通じて配信される多段階マルウェア システムの後期コンポーネントとして機能すると考えています。 BlueNoroff は、APT38、Nickel Gladstone、Sapphire Sleet、Stardust Chollima、TA444 などのさまざまな別名でも知られ、悪名高いLazarus Groupのサブセットとして活動しています。金融犯罪を専門とするこのハッカー グループは銀行と仮想通貨セクターをターゲットにし、制裁を回避して政権に不法な利益を生み出すことを目指しています。

Lazarus APT グループは引き続きサイバー犯罪の脅威アクターとして活躍

ObjCShellz の発見は、APT (Advanced Persistent Threat) Lazarus グループがブロックチェーン エンジニアを標的としてKANDYKORNという名前の新しい macOS マルウェアを使用しているという報告の直後に行われました。この脅威アクターに関連するもう 1 つの macOS マルウェアはRustBucketです。これは、攻撃者が制御するサーバーから第 2 段階のペイロードを取得するように設計された AppleScript ベースのバックドアとして特徴付けられます。

これらの攻撃は、投資アドバイスや仕事の機会を約束して潜在的なターゲットを誘惑するパターンに従います。ただし、本当の目的は、おとりドキュメントを使用して感染プロセスを開始することです。

ObjCShellz マルウェアはシンプルだが効果的

Objective-C で作成されているため、ObjCShellz と名付けられたこのマルウェアは、単純なリモート シェルとして機能します。攻撃者のサーバーから受信したシェル コマンドを実行します。

研究者らは、ObjCShellz の公式ターゲットに関する具体的な情報を欠いています。しかし、2023 年に観察された攻撃と攻撃者が作成したドメイン名を考慮すると、このマルウェアは仮想通貨業界に関連する企業、または仮想通貨業界と密接に関係している企業に対して使用された可能性があります。

攻撃の初期アクセスの正確な方法は現時点では不明です。このマルウェアはエクスプロイト後のペイロードとして配信され、侵害されたマシン上でコマンドを手動で実行できるようにする疑いがあります。そのシンプルさにもかかわらず、ObjCShellz は非常に機能的であることが証明されており、攻撃者が目的を達成するのに役立ちます。

研究者らは北朝鮮関連のハッカーグループが進化していると警告

ObjCShellzに関する暴露は、Lazarusのような北朝鮮が支援するグループの変革と再編と同時に行われた。これらのグループは、ツールや戦術を交換するためにますます協力しており、Linux と macOS の両方向けにカスタマイズされたマルウェアを作成し続けているため、不鮮明な状況が生じています。

専門家は、3CX や JumpCloud などのキャンペーンを調整する組織が、多様なツールセットの開発と共有に積極的に関与していると考えています。このコラボレーションは、改良され、より合理化されたマルウェア ツールで構成される追加の macOS マルウェア キャンペーンが間近に迫っている可能性を示唆しています。