ObjCShellz MacOS malware
A Jamf Threat Labs egy új malware-változatot azonosított, amely a BlueNoroff APT (APT38, TA444) csoporthoz tartozik, amelyről úgy tartják, hogy az észak-koreai Lazarus pénzügyekkel foglalkozó alcsoportja. A BlueNoroff kampányai pénzügyileg motiváltak, gyakran kriptovaluta tőzsdéket, kockázati tőketársaságokat és bankokat céloznak meg. A kutatók felfedetek egy Mach-O binárist, amely egy olyan domainnel kommunikál, amelyet a Jamf korábban rosszindulatúnak minősített. Ezt a végrehajtható fájlt a VirusTotal nem észlelte elemzésük idején.
A rosszindulatú program Objective-C nyelven íródott, és nagyon egyszerű távoli shellként működik, amely végrehajtja a támadókiszolgálótól küldött shell-parancsokat. Bár nem teljesen világos, hogyan sikerült elérni a kezdeti hozzáférést, ezt a rosszindulatú programot valószínűleg későbbi szakaszban használják parancsok kézi futtatására, miután feltörték a rendszert. Ez a rosszindulatú program első pillantásra nagyon különbözik a RustBucket kártevőktől, amelyeket más támadásokban használtak, de úgy tűnik, hogy mindkét esetben a támadó célja az egyszerű távoli shell-képesség biztosítása.
A Jamf Threat Labs ObjCShellz néven és a RustBucket kampány részeként követi nyomon ezt a malware-t és megosztották az azonosításhoz szükséges mutatókat.