Logiciel malveillant ObjCShellz
BlueNoroff, un groupe d'États-nations ayant des liens avec la Corée du Nord, est désormais associé à une souche de malware macOS connue sous le nom d'ObjCShellz, qui n'était auparavant pas documentée. Cette menace est un acteur essentiel de la campagne de malware RustBucket, qui a fait son apparition début 2023.
En examinant les activités passées de BlueNoroff, les chercheurs pensent qu'ObjCShellz fonctionne comme un composant avancé dans un système malveillant à plusieurs étapes déployé par le biais de tactiques d'ingénierie sociale. BlueNoroff, également connu sous divers pseudonymes tels que APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima et TA444, fonctionne comme un sous-ensemble du tristement célèbre groupe Lazarus . Spécialisé dans les délits financiers, ce groupe de hackers cible les banques et le secteur crypto, dans le but de contourner les sanctions et de générer des profits illégaux pour le régime.
Table des matières
Le groupe Lazarus APT reste un acteur actif de la menace de cybercriminalité
La découverte d'ObjCShellz intervient peu de temps après des rapports selon lesquels le groupe Lazarus APT (Advanced Persistent Threat) emploie un nouveau malware macOS nommé KANDYKORN pour cibler les ingénieurs de la blockchain. Un autre malware macOS associé à cet acteur menaçant est RustBucket , caractérisé comme une porte dérobée basée sur AppleScript conçue pour récupérer une charge utile de deuxième étape à partir d'un serveur contrôlé par l'attaquant.
Ces attaques suivent un modèle dans lequel les cibles potentielles sont attirées par la promesse de conseils en investissement ou d'une opportunité d'emploi. Cependant, la véritable intention est d’initier le processus d’infection en utilisant un document leurre.
Le logiciel malveillant ObjCShellz est simple mais efficace
Nommé ObjCShellz car il a été créé en Objective-C, ce malware sert de simple shell distant. Il exécute les commandes shell reçues du serveur de l'attaquant.
Les chercheurs manquent d’informations précises concernant les cibles officielles d’ObjCShellz. Cependant, compte tenu des attaques observées en 2023 et du nom de domaine créé par les attaquants, il est probable que le malware ait été utilisé contre une entreprise associée au secteur des cryptomonnaies ou étroitement liée à celui-ci.
La méthode précise d’accès initial pour l’attaque reste actuellement inconnue. On soupçonne que le logiciel malveillant est fourni sous forme de charge utile post-exploitation, permettant l'exécution manuelle de commandes sur la machine compromise. Malgré sa simplicité, ObjCShellz s'avère hautement fonctionnel, aidant ainsi les attaquants à atteindre leurs objectifs.
Des chercheurs préviennent que les groupes de hackers liés à la Corée du Nord évoluent
La révélation concernant ObjCShellz coïncide avec la transformation et la restructuration de groupes parrainés par la Corée du Nord comme Lazarus. Ces groupes collaborent de plus en plus pour échanger des outils et des tactiques, créant ainsi un paysage flou alors qu’ils persistent à créer des logiciels malveillants personnalisés pour Linux et macOS.
Les experts estiment que les entités qui orchestrent les campagnes, telles que 3CX et JumpCloud, sont activement impliquées dans le développement et le partage de divers outils. Cette collaboration suggère que des campagnes supplémentaires contre les logiciels malveillants macOS, composées d'outils malveillants améliorés et plus rationalisés, pourraient être à l'horizon.
