Северокорейские хакеры начали взламывать макбуки новым трояном, простым, но эффективным
Группировку BlueNorOff, специализирующуюся на краже финансовых активов, застигли за использованием нового вредоноса, который устанавливает удаленные шелл-соединения на компьютерах под управлением macOS.
Финансово-державная мотивация
Северокорейская кибергруппировка BlueNorOff
атакует пользователей
компьютеров Mac с помощью нового самописного вредоноса ObjCSheellz. Эта программа позволяет устанавливать
удаленные шелл-соединения со скомпрометированными устройствами, пишет издание Bleeping Computer.
BlueNorOff называют «финансово-мотивированной» группировкой, но лишь потому, что она специализируется на атаках на криптобиржи и финансовые организации по всему миру.
По мнению
Bleeping Computer, никаких самостоятельных группировок, не связанных с властями и спецслужбами, в Северной Корее нет и быть не может. BlueNorOff, очевидно, занимается добычей финансовых средств для обложенного санкциями государства. Средства потом, скорее всего, будут израсходованы на программы
вооружений.
Фото:
© suwannar1981.gmail.com / Фотобанк Фотодженика
Северокорейские хакеры за работой
Исследователи фирмы Jamf Threat Labs перехватили и исследовали ключевой вредоносный компонент ObjCSheellz. Им удалось установить, что первым делом вредонос устанавливает соединение с доменом swissborg[.]blog, зарегистрированном 31 мая и размещенном адресной зоне, относящейся к инфраструктуре BlueNorOff (точный адрес - 104.168.214[.]151).
Командный
сервер имитирует вебсайты легитимной
криптобиржи, располагающейся по адресу swissborg.com/blog (другая доменная зона).
Все данные, поступающие на сервер, разделяются на два потока и «скраиваются» вместе на другом конце канала, чтобы избежать обнаружения по статическим сигнатурам.
По словам специалистов Jamf Threat Labs, этот же
домен использовался ходе другой кампании - Rustbucket.
«В ходе нынешней кампании операторы выходят на связь с жертвой, заявляя, что они заинтересованы в партнерстве, или предлагая что-нибудь выгодное под видом инвестора или рекрутера. BlueNorOff часто создают домен, который выглядит так, будто принадлежит легитимной криптокомпании, так, чтобы «слиться» с его сетевой активностью», - приводит Bleeping Computer слова представителя Jamf.
Очевидная новинка
Что же касается непосредственно вредоноса, создающего
бэкдор на
зараженном компьютере
Apple, то ObjCShellz - это программа, написанная на
Objective-C и существенно отличающаяся от других вредоносов BlueNorOff. В Jamf указывают, что она довольно проста, но эффективна. По данным экспертов, ее используют на поздней стадии атаки, которая сама по себе является многоступенчатой и включает другие, не перехваченные пока, инструменты.
Каким именно образом она попадает в среду macOS, пока остается невыясненным. Хотя вероятнее всего, основную роль тут играет «классическая» социальная инженерия.
Вредонос одинаково эффективно функционирует под вариантами
macOS для
процессоров Intel и Arm.
В прошлом году «
Лаборатория Касперского» увязала BlueNorOff с длинной вереницей атак на криптостартапы по всему миру, в том числе
в России,
США,
Китае,
Индии,
Великобритании,
Украине,
Польше,
Чехии,
ОАЭ,
Сингапуре,
Эстонии,
Мальте,
Вьетнаме,
Германии и
Гонконге.
Четыре года назад в
ООН было заявлено, что северокорейские «госхакеры» умыкнули по меньшей мере 2 млрд долларов у своих жертв, среди которых -
банки и криптобиржи. Сейчас эта сумма определенно намного больше.
BlueNorOff и Lazarus совместно осуществили и крупнейшее криптоограбление в истории, похитив с криптомоста сети Axi Infinity Ronin 173,6 тыс. единиц
Ethereum и 25,5 млн токенов
USDC, что на тот момент составляло порядка $617 млн.
«Эти ограбления будут продолжаться до тех пор, пока сохраняется антагонизм между Северной Кореей и другими странами», - полагает директор по информационной безопасности компании
SEQ Анастасия Мельникова. По ее мнению, эти
APT-группировки не проявляют особой разборчивости в выборе жертв, так что даже условные союзники оказываются среди жертв их атак. «Единственный способ защититься от них - укреплять локальную безопасность и добиваться, чтобы люди не оказывались самым уязвимым местом в инфраструктуре.
Социальная инженерия тем менее эффективна, чем лучше подготовлены к ней потенциальные жертвы», - подытожила
Анастасия Мельникова.
Источник
https://safe.cnews.ru/news/top/2023-11-10_severokorejskie_hakery_otkryvayut