北韓駭客 Lazarus Group 下屬組織 BlueNoroff 使用一種名為 ObjCShellz 的全新 macOS 惡意軟體,騙取信任後投放該惡意軟體。
(前情提要: 北韓駭客新攻擊》惡意軟體滲透交易所,100天已搬空3億美元)
(背景補充: 100天竊3億鎂加密資產,北韓駭客「拉撒路集團」將目標從DeFi轉向CEX?)
本月初 Elastic Security Labs 揭露北韓駭客拉撒路集團「Lazarus Group」使用一種名為 KANDYKORN 的新 macOS 惡意軟體來針對交易所區塊鏈工程師,昨(7)日,Jamf Threat Labs 揭露專門攻擊 macOS 的惡意軟體,稱為 ObjCShellz,而此軟體經查由 Lazarus Group 的下屬組織 BlueNoroff 所散播。
透過社交工程手法傳播
Jamf Threat Labs 表示 ObjCShellz 是今年 4 月發現的 RustBucket 惡意軟體活動中的一環,Jamf Threat Labs 的安全研究員 Ferdous Saljooki 進一步表明,據 BlueNoroff 以前進行的攻擊紀錄顯示,他們合理懷疑 ObjCShellz 是一種多重惡意軟體攻擊的後期階段,並通過社交工程手法進行傳播。
RustBucket 惡意軟體是基於 AppleScript 的後門程式,旨在從攻擊者控制的伺服器中,檢索第二階段的惡意負載。而 ObjCShellz 的名稱暗示它是用 Objective-C 語言編寫的,它為攻擊者提供一個遠端命令執行介面(shell),能夠控制受害者的 macOS 系統,從而執行攻擊者發送的命令。
區塊鏈安全公司 SlowMist 資安長 23pds 也在 X 上發出此次攻擊的警訊,他表示 BlueNoroff 以投資者或獵頭的身份接觸目標,聲稱有興趣與他們合作或為他們提供一些收益產品,騙取信任後投放 macOS 惡意軟體。
攻擊再次針對加密行業
值得注意的是,23pds 指出這次的攻擊再次針對加密貨幣行業,凸顯出 Lazarus Group 針對加密行業高度定制的網路間諜和金融犯罪活動正不斷發生。
23pds 進一步說明 BlueNoroff 利用合法的加密貨幣交易所,在網域名稱 swissborg[.]com 下運行一個看似無異狀的部落格,他們使用這個部落格網站植入惡意軟體,將命令和控制(C2)的 URL 分成兩個不同的字符串,這樣可以在不引起懷疑的情況下將其重組,從而逃避使用靜態特徵的安全檢測法。
因此,23pds 提醒加密貨幣平台運營者需要對內部流量進行仔細檢查,以發現是否有與這些攻擊相關的瀏覽記錄,平台運營者應特別注意 swissborg[.]com 和 swissborg[.]blog 這兩個網域名稱,並在其流量控制系統中進行查詢,以確保未受到這種惡意活動的影響。
⚠️ Lazarus BlueNoroff 团队使用新的 macOS 恶意软件再次对加密货币行业发起新的攻击👇
近日Lazarus BlueNoroff 利用合法的加密货币交易所,在 swissborg[.]com 域下运行他们在 URL swissborg[.]com/blog 上托管的一个合法的博客,之后该恶意软件将命令和控制 (C2) URL…— 23pds (山哥) (@im23pds) November 8, 2023
今年以來,Lazarus Group 已被確認竊取了約 3 億美元的加密資產,且多次攻擊都是始於社交工程,並針對加密領域從業者,值得我們多加留意。
延伸閱讀:100天竊3億鎂加密資產,北韓駭客「拉撒路集團」將目標從DeFi轉向CEX?