A BlueNoroff hamis kriptohírekkel és újszerű perzisztenciával veszi célba a Mac eszközöket
A kriptovalutával kapcsolatos vállalkozások már jó ideje az Észak-Koreához köthető kiberszereplők célpontjai, több olyan kampányt is indítottak, amelyek célja pénzeszközök ellopása, illetve backdoor-ok elhelyezése a céleszközökön. 2023 áprilisában a kutatók részletesen bemutattak egy APT-kampányt, amely macOS-felhasználókat célzott meg többlépcsős rosszindulatú szoftverrel, amely egy Rust backdoorban csúcsosodott ki, amely képes volt további rosszindulatú szoftverek letöltésére és végrehajtására a fertőzött eszközökön. A „RustBucket”-et, ahogyan ők nevezték, nagy bizonyossággal a BlueNoroff APT-nek tulajdonították. 2023 májusában az ESET kutatói felfedeztek egy második RustBucket-változatot, amely macOS-felhasználókat célzott meg, majd az Elastic 2023. júliusában felfedezett egy harmadik változatot, amely a perzisztencia érdekében LaunchAgentet is tartalmazott. 2023 novemberében az Elastic egy másik észak-koreai kampányról is beszámolt, amely egy kriptotőzsdei platform blokkláncmérnökeit célozta meg KandyKorn malware-rel. A SentinelLabs-nak sikerült összekapcsolni a KandyKorn és a RustBucket kampányokat.
2024 októberében a SentinelLabs megfigyelt egy olyan adathalász kísérletet a kripto iparágban, amely egy olyan dropper alkalmazást és payload-ot szállított, amely a korábbi támadások számos jellegzetességét hordozta. A kutatók úgy vélik, hogy a kampány valószínűleg már 2024 júliusában elkezdődött, és hamis kripto híreket tartalmazó e-maileket és PDF-eket használt. A kampányt „Hidden Risk”-nek nevezték el, és részletesen bemutatják a működését és az IOC-kat, beleértve a zshenv konfigurációs fájl használatával visszaélő, újszerű perzisztencia-mechanizmust.
