Istraživači sigurnosti otkrili su novu varijantu malvera za koju se vjeruje da je povezana s grupom BlueNoroff Advanced Persistent Threat (APT).
BlueNoroff je poznat po svojim finansijski motivisanim kampanjama, često ciljanim na mjenjačnice kriptovaluta, firme rizičnog kapitala i banke. Pišući u danas objavljenom savjetodavnom listu, Jamf Threat Labs je rekao da je ovo otkriće došlo tokom rutinskog lova na prijetnje, gdje je tim pronašao Mach-O univerzalnu binarnu datoteku koja komunicira sa ranije identifikovanim zlonamjernim domenom.
Samostalni binarni program, nazvan “ProcessRequest”, privukao je pažnju zbog svoje interakcije sa prethodno označenim domenom. Naime, legitimna mjenjačnica kriptovaluta radi u sličnom domenu, što dodatno povećava zabrinutost.
Istraživač Jamfa Ferdous Saljooki rekao je da je aktivnost u skladu sa BlueNoroff-ovom Rustbucket kampanjom, gdje se APT grupa prerušava u investitora ili lovca na glave kako bi dobila pristup svojim ciljevima.
Zlonamjerni domen je registrovan u maju 2023. i povezan sa određenom IP adresom. Dok su različiti URL-ovi korišteni za komunikaciju sa malverom, server za naredbu i kontrolu (C2) nije reagovao, na kraju je otišao offline nakon njihove analize.
U tehničkom opisu, Saljooki je objasnio da je malver napisan u Objective-C i funkcioniše kao jednostavan remote shell, izvršavajući shell naredbe poslane sa servera napadača.
Iako inicijalni metod pristupa ostaje nejasan, čini se da se koristi u kasnijim fazama za ručno pokretanje komandi nakon kompromitovanja sistema. Malver, nazvan ObjCShellz, komunicira sa C2 serverom koristeći POST poruku na određeni URL, prikupljajući informacije o zaraženom macOS sistemu i kreirajući korisničkog agenta za komunikaciju.
Sposobnost malvera da izvršava komande je vrijedna pažnje, jer omogućava napadaču da dobije daljinsku kontrolu nad kompromitovanim sistemima.
“Iako je prilično jednostavan, ovaj malver je i dalje vrlo funkcionalan i pomoći će napadačima da ostvare svoje ciljeve. Čini se da je ovo tema s najnovijim malverom koji smo vidjeli da dolazi iz ove APT grupe”, napisao je Saljooki.
“Na osnovu prethodnih napada koje je izveo BlueNoroff, sumnjamo da je ovaj malver kasna faza unutar višefaznog malvera koji se isporučuje putem društvenog inženjeringa.”
Izvor: Infosecurity Magazine
