BlueNoroff accusé de pirater les macOS avec le logiciel malveillant ObjCShellz

Jamf Threat Labs, qui a révélé les détails du logiciel malveillant, a déclaré qu’il était utilisé dans le cadre de la campagne de logiciels malveillants RustBucket, qui a été révélée au début de l’année.
« Sur la base des attaques précédentes menées par BlueNoroff, nous soupçonnons que ce logiciel malveillant était une étape tardive d’un logiciel malveillant en plusieurs étapes diffusé par le biais de l’ingénierie sociale », a déclaré Ferdous Saljooki, chercheur en sécurité, dans un rapport partagé avec The Hacker News.
BlueNoroff, également repéré sous les noms APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima et TA444, est un élément subordonné du tristement célèbre Lazarus Group qui se spécialise dans la criminalité financière, ciblant les banques et le secteur de la crypto-monnaie comme moyen d’échapper aux sanctions et de générer des profits illicites pour le régime.
Ce développement intervient quelques jours après qu’Elastic Security Labs a révélé l’utilisation par le Lazarus Group d’un nouveau malware macOS appelé KANDYKORN pour cibler les ingénieurs de la blockchain.
L’acteur de la menace est également lié à un logiciel malveillant macOS appelé RustBucket, une porte dérobée basée sur AppleScript qui est conçue pour récupérer une charge utile de deuxième niveau à partir d’un serveur contrôlé par l’attaquant.
Dans ces attaques, les cibles potentielles sont attirées sous le prétexte de leur offrir des conseils en matière d’investissement ou un emploi, avant de lancer la chaîne d’infection au moyen d’un document leurre.
ObjCShellz, comme son nom l’indique, est écrit en Objective-C et fonctionne comme un « shell distant très simple qui exécute les commandes shell envoyées par le serveur de l’attaquant ».
« Nous n’avons pas de détails sur les personnes contre lesquelles il a été officiellement utilisé », a déclaré Jaron Bradley, directeur de Jamf Threat Labs, à The Hacker News. « Mais étant donné les attaques que nous avons vues cette année et le nom du domaine que les attaquants ont créé, il a probablement été utilisé contre une entreprise qui travaille dans l’industrie de la crypto-monnaie ou qui travaille en étroite collaboration avec elle. »
Le vecteur d’accès initial exact de l’attaque n’est pas connu pour l’instant, mais on soupçonne que le logiciel malveillant est livré en tant que charge utile de post-exploitation pour exécuter manuellement des commandes sur la machine piratée.
« Bien que relativement simple, ce logiciel malveillant reste très fonctionnel et aidera les attaquants à atteindre leurs objectifs », a déclaré M. Saljooki.
Cette révélation intervient alors que des groupes parrainés par la Corée du Nord, comme Lazarus, évoluent et se réorganisent pour partager des outils et des tactiques entre eux, brouillant ainsi les frontières, tout en continuant à créer des logiciels malveillants sur mesure pour Linux et macOS.
« On pense que les acteurs à l’origine des campagnes [3CX et JumpCloud] développent le partage d’une variété d’outils et que d’autres campagnes de logiciels malveillants pour macOS sont inévitables », a déclaré Phil Stokes, chercheur en sécurité chez SentinelOne, le mois dernier. La vague de piratage de la Corée du Nord a également incité les États-Unis, la Corée du Sud et le Japon à créer ensemble un groupe consultatif trilatéral de haut niveau sur la cybernétique afin de lutter principalement contre les « activités cybernétiques qui constituent une source majeure de financement du développement d’armes par la Corée du Nord ».