BlueNoroff ของเกาหลีเหนือถูกกล่าวหาว่าแฮ็กเครื่อง macOS ด้วยมัลแวร์ ObjCShellz

กลุ่มรัฐชาติที่เชื่อมโยงกับเกาหลีเหนือที่เรียกว่า BlueNoroff มีสาเหตุมาจากสายพันธุ์มัลแวร์ macOS ที่ไม่มีเอกสารก่อนหน้านี้ซึ่งมีชื่อว่าObjCShellz

Jamf Threat Labs ซึ่งเปิดเผยรายละเอียดของมัลแวร์ กล่าวว่ามันถูกใช้เป็นส่วนหนึ่งของแคมเปญมัลแวร์ RustBucket ซึ่งเริ่มเปิดเผยเมื่อต้นปีนี้

“จากการโจมตีครั้งก่อนๆ ที่ดำเนินการโดย BlueNoroff เราสงสัยว่ามัลแวร์นี้อยู่ในช่วงปลายของมัลแวร์หลายขั้นตอนที่ส่งผ่านทางวิศวกรรมสังคม” นักวิจัยด้านความปลอดภัย Ferdous Saljooki กล่าวในรายงานที่แชร์กับ The Hacker News

BlueNoroff ซึ่งถูกติดตามภายใต้ชื่อ APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima และ TA444 นั้นเป็นองค์ประกอบรองของกลุ่มLazarus Group ที่มีชื่อเสียง ซึ่งเชี่ยวชาญด้านอาชญากรรมทางการเงิน โดยกำหนดเป้าหมายไปที่ธนาคารและภาคการเข้ารหัสลับเพื่อเป็นหนทางในการหลบเลี่ยงการคว่ำบาตรและสร้าง ผลกำไรที่ผิดกฎหมายสำหรับระบอบการปกครอง

การพัฒนามาถึงไม่กี่วันหลังจากที่ Elastic Security Labs เปิดเผยการใช้มัลแวร์ macOS ตัวใหม่ของ Lazarus Group ที่เรียกว่าKANDYKORNเพื่อกำหนดเป้าหมายวิศวกรบล็อคเชน

นอกจากนี้ มัลแวร์ macOS ที่เรียกว่า RustBucketที่เชื่อมโยงกับผู้คุกคามยังเป็นแบ็คดอร์ที่ใช้ AppleScript ซึ่งออกแบบมาเพื่อดึงข้อมูลเพย์โหลดขั้นที่สองจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม

ในการโจมตีเหล่านี้ เป้าหมายที่คาดหวังจะถูกล่อลวงโดยอ้างว่าเสนอคำแนะนำด้านการลงทุนหรืองานให้พวกเขา เพียงเพื่อเริ่มต้นห่วงโซ่การติดเชื้อโดยใช้เอกสารล่อ

ตามชื่อ ObjCShellz เขียนใน Objective-C ซึ่งทำหน้าที่เป็น “เชลล์ระยะไกลที่เรียบง่ายมากที่ดำเนินการคำสั่งเชลล์ที่ส่งจากเซิร์ฟเวอร์ของผู้โจมตี”

“เราไม่มีรายละเอียดว่าใครถูกใช้อย่างเป็นทางการกับใคร” Jaron Bradley ผู้อำนวยการของ Jamf Threat Labs บอกกับ The Hacker News “แต่จากการโจมตีที่เราได้เห็นในปีนี้ และชื่อโดเมนที่ผู้โจมตีสร้างขึ้น มีแนวโน้มว่าจะถูกนำไปใช้กับบริษัทที่ทำงานในอุตสาหกรรมสกุลเงินดิจิทัลหรือทำงานใกล้ชิดกับมัน”

ปัจจุบันยังไม่ทราบเวกเตอร์การเข้าถึงเริ่มต้นที่แน่นอนสำหรับการโจมตี แม้ว่าจะสงสัยว่ามัลแวร์จะถูกส่งเป็นเพย์โหลดหลังการแสวงหาประโยชน์เพื่อเรียกใช้คำสั่งด้วยตนเองบนเครื่องที่ถูกแฮ็ก

“แม้ว่าจะค่อนข้างง่าย แต่มัลแวร์นี้ยังคงใช้งานได้ดีและจะช่วยให้ผู้โจมตีบรรลุวัตถุประสงค์” Saljooki กล่าว

การเปิดเผยข้อมูลดังกล่าวเกิดขึ้นในขณะที่กลุ่มที่ได้รับการสนับสนุนจากเกาหลีเหนือ เช่น Lazarus กำลังพัฒนาและจัดระเบียบใหม่เพื่อแบ่งปันเครื่องมือและยุทธวิธีระหว่างกัน ทำให้ขอบเขตไม่ชัดเจน แม้ว่าพวกเขาจะยังคงสร้างมัลแวร์ตามความต้องการสำหรับ Linux และ macOS ก็ตาม

“เชื่อกันว่านักแสดงที่อยู่เบื้องหลังแคมเปญ [ 3CXและJumpCloud ] กำลังพัฒนาและแบ่งปันชุดเครื่องมือที่หลากหลาย และแคมเปญมัลแวร์ macOS เพิ่มเติมนั้นหลีกเลี่ยงไม่ได้” Phil Stokes นักวิจัยด้านความปลอดภัยของ SentinelOne กล่าวเมื่อเดือนที่แล้ว

การแฮกข้อมูลอย่างสนุกสนานของเกาหลีเหนือยังกระตุ้นให้สหรัฐฯ เกาหลีใต้ และญี่ปุ่นร่วมมือกันและจัดตั้งกลุ่มที่ปรึกษาด้านไซเบอร์ระดับสูงแบบไตรภาคีโดยมีวัตถุประสงค์หลักเพื่อต่อสู้กับ “กิจกรรมทางไซเบอร์ที่ถูกละเมิดในฐานะแหล่งเงินทุนหลักสำหรับการพัฒนาอาวุธของเกาหลีเหนือ ”