A BlueNoroff da Coreia do Norte é responsabilizada por hackear máquinas macOS com o Malware ObjCShellz
8 de Novembro de 2023

O grupo de nação-estado vinculado à Coreia do Norte, chamado BlueNoroff, foi atribuído a uma cepa de malware do macOS anteriormente não documentada, apelidada de ObjCShellz.

O Jamf Threat Labs, que divulgou detalhes do malware, disse que é usado como parte da campanha de malware RustBucket, que veio à luz no início deste ano.

"Com base em ataques anteriores realizados pelo BlueNoroff, suspeitamos que este malware era uma fase tardia dentro de um malware multietapas entregue via engenharia social", disse o pesquisador de segurança Ferdous Saljooki em um relatório.

BlueNoroff, também rastreado sob os nomes APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima e TA444, é um elemento subordinado do infame Lazarus Group, que se especializa em crimes financeiros, visando bancos e o setor de criptomoedas como uma maneira de evadir sanções e gerar lucros ilícitos para o regime.

Essa notícia chega dias após o Elastic Security Labs divulgar o uso de um novo malware macOS chamado KANDYKORN pelo Lazarus Group para visar engenheiros de blockchain.

Também ligado ao ator de ameaças está um malware do macOS chamado RustBucket, um backdoor baseado em AppleScript projetado para recuperar um payload de segunda fase de um servidor controlado pelo invasor.

Nesses ataques, alvos em potencial são atraídos sob o pretexto de oferecer conselhos de investimento ou um emprego, apenas para iniciar a cadeia de infecção por meio de um documento isca.

ObjCShellz, como o nome sugere, é escrito em Objective-C que funciona como um "shell remoto muito simples que executa comandos de shell enviados pelo servidor do invasor".

"Não temos detalhes de quem foi oficialmente usado contra", disse Jaron Bradley, diretor do Jamf Threat Labs.

"Mas, dados os ataques que vimos este ano, e o nome do domínio que os invasores criaram, é provável que tenha sido usado contra uma empresa que trabalha na indústria de criptomoedas ou trabalha de perto com ela".

O vetor de acesso inicial exato para o ataque atualmente não é conhecido, embora se suspeite que o malware seja entregue como um payload de pós-exploração para executar comandos manualmente na máquina hackeada.

"Ainda que bastante simples, esse malware ainda é muito funcional e ajudará os invasores a realizar seus objetivos", disse Saljooki.

A divulgação também ocorre quando os grupos patrocinados pela Coreia do Norte, como o Lazarus, estão evoluindo e se reorganizando para compartilhar ferramentas e táticas entre eles, borrando as fronteiras, mesmo enquanto continuam a construir malware personalizado para Linux e macOS.

"Acredita-se que os atores por trás [das campanhas 3CX e JumpCloud] estão desenvolvendo e compartilhando uma variedade de conjuntos de ferramentas e que outras campanhas de malware para macOS são inevitáveis", disse o pesquisador de segurança da SentinelOne, Phil Stokes, no mês passado.

A série de invasões da Coreia do Norte também levou os EUA, Coreia do Sul e Japão a se unirem e estabelecerem um grupo de consultoria cibernética trilateral de alto nível, principalmente para combater "atividades cibernéticas que são abusadas como uma fonte principal de financiamento para o desenvolvimento de armas da Coreia do Norte ".

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...