نُسبت مجموعة الدولة القومية المرتبطة بكوريا الشمالية والتي تسمى BlueNoroff إلى سلالة برامج ضارة لنظام التشغيل MacOS غير موثقة سابقًا يطلق عليها اسم ObjCShellz .
وقالت Jamf Threat Labs، التي كشفت عن تفاصيل البرامج الضارة، إنها تُستخدم كجزء من حملة البرامج الضارة RustBucket، والتي ظهرت إلى النور في وقت سابق من هذا العام.
وقال الباحث الأمني فردوس سالجوكي في تقرير تمت مشاركته مع The Hacker News: "استنادًا إلى الهجمات السابقة التي نفذتها BlueNoroff، نشتبه في أن هذه البرامج الضارة كانت مرحلة متأخرة ضمن برامج ضارة متعددة المراحل يتم تسليمها عبر الهندسة الاجتماعية".
BlueNoroff، الذي يتم تتبعه أيضًا تحت أسماء APT38 وNickel Gladstone وSapphire Sleet وStardust Chollima وTA444، هو عنصر ثانوي لمجموعة Lazarus سيئة السمعة المتخصصة في الجرائم المالية ، والتي تستهدف البنوك وقطاع العملات المشفرة كوسيلة للتهرب من العقوبات وإنشاء مكاسب غير مشروعة للنظام.
ويأتي هذا التطوير بعد أيام من كشف Elastic Security Labs عن استخدام Lazarus Group لبرنامج ضار جديد لنظام التشغيل MacOS يسمى KANDYKORN لاستهداف مهندسي blockchain.
يرتبط أيضًا بممثل التهديد برنامج ضار لنظام التشغيل MacOS يُشار إليه باسم RustBucket ، وهو باب خلفي يستند إلى AppleScript مصمم لاسترداد حمولة المرحلة الثانية من خادم يتحكم فيه المهاجم.
في هذه الهجمات، يتم إغراء الأهداف المحتملة بحجة تقديم نصيحة استثمارية أو وظيفة لهم، فقط لبدء سلسلة العدوى عن طريق وثيقة خادعة.
ObjCShellz، كما يوحي الاسم، مكتوب بلغة Objective-C التي تعمل بمثابة "صدفة بعيدة بسيطة جدًا تنفذ أوامر الصدفة المرسلة من خادم المهاجم."
وقال السلجوقي لصحيفة The Hacker News: "ليس لدينا تفاصيل حول الجهة التي تم استخدامها رسميًا ضده". "ولكن بالنظر إلى الهجمات التي شهدناها هذا العام، واسم النطاق الذي أنشأه المهاجمون، فمن المحتمل أنه تم استخدامه ضد شركة تعمل في صناعة العملات المشفرة أو تعمل بشكل وثيق معها."
لا يُعرف حاليًا ناقل الوصول الأولي الدقيق للهجوم، على الرغم من الاشتباه في أن البرامج الضارة يتم تسليمها كحمولة ما بعد الاستغلال لتشغيل الأوامر يدويًا على الجهاز المخترق.
وقال سالجوكي: "على الرغم من بساطتها إلى حد ما، إلا أن هذه البرامج الضارة لا تزال فعالة للغاية وستساعد المهاجمين على تنفيذ أهدافهم".
ويأتي هذا الكشف أيضًا في الوقت الذي تتطور فيه المجموعات التي ترعاها كوريا الشمالية مثل Lazarus وتعيد تنظيم نفسها لمشاركة الأدوات والتكتيكات فيما بينها، مما يؤدي إلى طمس الحدود، حتى مع استمرارها في إنشاء برامج ضارة مخصصة لنظامي التشغيل Linux وmacOS.
وقال فيل ستوكس، الباحث الأمني في SentinelOne ، الشهر الماضي : "يُعتقد أن الجهات الفاعلة وراء حملات [ 3CX و JumpCloud ] تعمل على تطوير ومشاركة مجموعة متنوعة من مجموعات الأدوات، وأن المزيد من حملات البرامج الضارة لنظام التشغيل MacOS أمر لا مفر منه" .
