Спецпроекты

Безопасность Техника

Северокорейские хакеры начали взламывать макбуки новым трояном, простым, но эффективным

Группировку BlueNorOff, специализирующуюся на краже финансовых активов, застигли за использованием нового вредоноса, который устанавливает удаленные шелл-соединения на компьютерах под управлением macOS.

Финансово-державная мотивация

Северокорейская кибергруппировка BlueNorOff атакует пользователей компьютеров Mac с помощью нового самописного вредоноса ObjCSheellz. Эта программа позволяет устанавливать удаленные шелл-соединения со скомпрометированными устройствами, пишет издание Bleeping Computer.

BlueNorOff называют «финансово-мотивированной» группировкой, но лишь потому, что она специализируется на атаках на криптобиржи и финансовые организации по всему миру.

По мнению Bleeping Computer, никаких самостоятельных группировок, не связанных с властями и спецслужбами, в Северной Корее нет и быть не может. BlueNorOff, очевидно, занимается добычей финансовых средств для обложенного санкциями государства. Средства потом, скорее всего, будут израсходованы на программы вооружений.

Северокорейские хакеры за работой

Исследователи фирмы Jamf Threat Labs перехватили и исследовали ключевой вредоносный компонент ObjCSheellz. Им удалось установить, что первым делом вредонос устанавливает соединение с доменом swissborg[.]blog, зарегистрированном 31 мая и размещенном адресной зоне, относящейся к инфраструктуре BlueNorOff (точный адрес - 104.168.214[.]151).

Командный сервер имитирует вебсайты легитимной криптобиржи, располагающейся по адресу swissborg.com/blog (другая доменная зона).

Все данные, поступающие на сервер, разделяются на два потока и «скраиваются» вместе на другом конце канала, чтобы избежать обнаружения по статическим сигнатурам.

По словам специалистов Jamf Threat Labs, этот же домен использовался ходе другой кампании - Rustbucket.

«В ходе нынешней кампании операторы выходят на связь с жертвой, заявляя, что они заинтересованы в партнерстве, или предлагая что-нибудь выгодное под видом инвестора или рекрутера. BlueNorOff часто создают домен, который выглядит так, будто принадлежит легитимной криптокомпании, так, чтобы «слиться» с его сетевой активностью», - приводит Bleeping Computer слова представителя Jamf.

Очевидная новинка

Что же касается непосредственно вредоноса, создающего бэкдор на зараженном компьютере Apple, то ObjCShellz - это программа, написанная на Objective-C и существенно отличающаяся от других вредоносов BlueNorOff. В Jamf указывают, что она довольно проста, но эффективна. По данным экспертов, ее используют на поздней стадии атаки, которая сама по себе является многоступенчатой и включает другие, не перехваченные пока, инструменты.

Каким именно образом она попадает в среду macOS, пока остается невыясненным. Хотя вероятнее всего, основную роль тут играет «классическая» социальная инженерия.

Вредонос одинаково эффективно функционирует под вариантами macOS для процессоров Intel и Arm.

В прошлом году «Лаборатория Касперского» увязала BlueNorOff с длинной вереницей атак на криптостартапы по всему миру, в том числе в России, США, Китае, Индии, Великобритании, Украине, Польше, Чехии, ОАЭ, Сингапуре, Эстонии, Мальте, Вьетнаме, Германии и Гонконге.

Четыре года назад в ООН было заявлено, что северокорейские «госхакеры» умыкнули по меньшей мере 2 млрд долларов у своих жертв, среди которых - банки и криптобиржи. Сейчас эта сумма определенно намного больше.

BlueNorOff и Lazarus совместно осуществили и крупнейшее криптоограбление в истории, похитив с криптомоста сети Axi Infinity Ronin 173,6 тыс. единиц Ethereum и 25,5 млн токенов USDC, что на тот момент составляло порядка $617 млн.

«Эти ограбления будут продолжаться до тех пор, пока сохраняется антагонизм между Северной Кореей и другими странами», - полагает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее мнению, эти APT-группировки не проявляют особой разборчивости в выборе жертв, так что даже условные союзники оказываются среди жертв их атак. «Единственный способ защититься от них - укреплять локальную безопасность и добиваться, чтобы люди не оказывались самым уязвимым местом в инфраструктуре. Социальная инженерия тем менее эффективна, чем лучше подготовлены к ней потенциальные жертвы», - подытожила Анастасия Мельникова.

Роман Георгиев

Короткая ссылка