BlueNoroff ของเกาหลีเหนือถูกกล่าวหาว่าแฮ็กเครื่อง macOS ด้วยมัลแวร์ ObjCShellz
2023.11.08
BlueNoroff ของเกาหลีเหนือถูกกล่าวหาว่าแฮ็กเครื่อง macOS ด้วยมัลแวร์ ObjCShellz
กลุ่มรัฐชาติที่เชื่อมโยงกับเกาหลีเหนือที่เรียกว่า BlueNoroff มีสาเหตุมาจากสายพันธุ์มัลแวร์ macOS ที่ไม่มีเอกสารก่อนหน้านี้ซึ่งมีชื่อว่าObjCShellz
Jamf Threat Labs ซึ่งเปิดเผยรายละเอียดของมัลแวร์ กล่าวว่ามันถูกใช้เป็นส่วนหนึ่งของแคมเปญมัลแวร์ RustBucket ซึ่งเริ่มเปิดเผยเมื่อต้นปีนี้
“จากการโจมตีครั้งก่อนๆ ที่ดำเนินการโดย BlueNoroff เราสงสัยว่ามัลแวร์นี้อยู่ในช่วงปลายของมัลแวร์หลายขั้นตอนที่ส่งผ่านทางวิศวกรรมสังคม” นักวิจัยด้านความปลอดภัย Ferdous Saljooki กล่าวในรายงานที่แชร์กับ The Hacker News
BlueNoroff ซึ่งถูกติดตามภายใต้ชื่อ APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima และ TA444 นั้นเป็นองค์ประกอบรองของกลุ่มLazarus Group ที่มีชื่อเสียง ซึ่งเชี่ยวชาญด้านอาชญากรรมทางการเงิน โดยกำหนดเป้าหมายไปที่ธนาคารและภาคการเข้ารหัสลับเพื่อเป็นหนทางในการหลบเลี่ยงการคว่ำบาตรและสร้าง ผลกำไรที่ผิดกฎหมายสำหรับระบอบการปกครอง
การพัฒนามาถึงไม่กี่วันหลังจากที่ Elastic Security Labs เปิดเผยการใช้มัลแวร์ macOS ตัวใหม่ของ Lazarus Group ที่เรียกว่าKANDYKORNเพื่อกำหนดเป้าหมายวิศวกรบล็อคเชน
นอกจากนี้ มัลแวร์ macOS ที่เรียกว่า RustBucketที่เชื่อมโยงกับผู้คุกคามยังเป็นแบ็คดอร์ที่ใช้ AppleScript ซึ่งออกแบบมาเพื่อดึงข้อมูลเพย์โหลดขั้นที่สองจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
ในการโจมตีเหล่านี้ เป้าหมายที่คาดหวังจะถูกล่อลวงโดยอ้างว่าเสนอคำแนะนำด้านการลงทุนหรืองานให้พวกเขา เพียงเพื่อเริ่มต้นห่วงโซ่การติดเชื้อโดยใช้เอกสารล่อ
ตามชื่อ ObjCShellz เขียนใน Objective-C ซึ่งทำหน้าที่เป็น “เชลล์ระยะไกลที่เรียบง่ายมากที่ดำเนินการคำสั่งเชลล์ที่ส่งจากเซิร์ฟเวอร์ของผู้โจมตี”
“เราไม่มีรายละเอียดว่าใครถูกใช้อย่างเป็นทางการกับใคร” Jaron Bradley ผู้อำนวยการของ Jamf Threat Labs บอกกับ The Hacker News “แต่จากการโจมตีที่เราได้เห็นในปีนี้ และชื่อโดเมนที่ผู้โจมตีสร้างขึ้น มีแนวโน้มว่าจะถูกนำไปใช้กับบริษัทที่ทำงานในอุตสาหกรรมสกุลเงินดิจิทัลหรือทำงานใกล้ชิดกับมัน”
ปัจจุบันยังไม่ทราบเวกเตอร์การเข้าถึงเริ่มต้นที่แน่นอนสำหรับการโจมตี แม้ว่าจะสงสัยว่ามัลแวร์จะถูกส่งเป็นเพย์โหลดหลังการแสวงหาประโยชน์เพื่อเรียกใช้คำสั่งด้วยตนเองบนเครื่องที่ถูกแฮ็ก
“แม้ว่าจะค่อนข้างง่าย แต่มัลแวร์นี้ยังคงใช้งานได้ดีและจะช่วยให้ผู้โจมตีบรรลุวัตถุประสงค์” Saljooki กล่าว
การเปิดเผยข้อมูลดังกล่าวเกิดขึ้นในขณะที่กลุ่มที่ได้รับการสนับสนุนจากเกาหลีเหนือ เช่น Lazarus กำลังพัฒนาและจัดระเบียบใหม่เพื่อแบ่งปันเครื่องมือและยุทธวิธีระหว่างกัน ทำให้ขอบเขตไม่ชัดเจน แม้ว่าพวกเขาจะยังคงสร้างมัลแวร์ตามความต้องการสำหรับ Linux และ macOS ก็ตาม
“เชื่อกันว่านักแสดงที่อยู่เบื้องหลังแคมเปญ [ 3CXและJumpCloud ] กำลังพัฒนาและแบ่งปันชุดเครื่องมือที่หลากหลาย และแคมเปญมัลแวร์ macOS เพิ่มเติมนั้นหลีกเลี่ยงไม่ได้” Phil Stokes นักวิจัยด้านความปลอดภัยของ SentinelOne กล่าวเมื่อเดือนที่แล้ว
การแฮกข้อมูลอย่างสนุกสนานของเกาหลีเหนือยังกระตุ้นให้สหรัฐฯ เกาหลีใต้ และญี่ปุ่นร่วมมือกันและจัดตั้งกลุ่มที่ปรึกษาด้านไซเบอร์ระดับสูงแบบไตรภาคีโดยมีวัตถุประสงค์หลักเพื่อต่อสู้กับ “กิจกรรมทางไซเบอร์ที่ถูกละเมิดในฐานะแหล่งเงินทุนหลักสำหรับการพัฒนาอาวุธของเกาหลีเหนือ ”
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05