Tin tặc BlueNoroff tấn công backdoor Mac bằng phần mềm độc hại ObjCShellz mới

BlueNorOff là một nhóm hack có động cơ tài chính nổi tiếng với việc tấn công các sàn giao dịch tiền điện tử và các tổ chức tài chính như các công ty đầu tư và ngân hàng trên toàn thế giới.

Payload độc hại được các nhà phân tích phần mềm độc hại Jamf phát hiện (được gắn nhãn ProcessRequest) giao tiếp với swissborg[.]blog, một miền do kẻ tấn công kiểm soát được đăng ký vào ngày 31 tháng 5 và được lưu trữ tại 104.168.214[.]151 (một phần địa chỉ IP của cơ sở hạ tầng BlueNorOff).

Miền Command and Control (C2) này bắt chước các trang web của một sàn giao dịch tiền điện tử hợp pháp tại swissborg.com/blog. Tất cả dữ liệu được truyền đến máy chủ được chia thành hai chuỗi và được ghép lại với nhau ở đầu bên kia để tránh bị phát hiện dựa trên kỹ thuật Stactic.

Các nhà nghiên cứu bảo mật cho biết: “Việc sử dụng miền này rất phù hợp với hoạt động mà chúng tôi đã thấy từ BlueNorOff trong chiến dịch mà Jamf Threat Labs theo dõi là chiến dịch Rustbucket”.

“Trong chiến dịch này, kẻ tấn công tiếp cận mục tiêu muốn nhắm đến hoặc mang đến cho chúng điều có lợi dưới vỏ bọc của một nhà đầu tư hoặc thợ săn đầu người. BlueNorOff thường tạo một miền để trông có vẻ thuộc về một công ty tiền điện tử hợp pháp ở để hòa nhập với hoạt động mạng."

Backdoor cuả máy Mac

ObjCShellz là phần mềm độc hại dựa trên Objective-C và khá khác biệt so với các payload độc hại khác được triển khai trong các cuộc tấn công BlueNorOff trước đây. Nó cũng được thiết kế để mở shell từ xa trên các hệ thống macOS bị xâm nhập sau khi bị loại bỏ bằng vectơ truy cập ban đầu không xác định.

Những kẻ tấn công đã sử dụng nó trong giai đoạn sau khai thác để thực thi các lệnh trên máy Intel và Arm Mac bị lây nhiễm.

Jamf cho biết: “Mặc dù khá đơn giản, phần mềm độc hại này vẫn hoạt động rất hiệu quả và sẽ giúp những kẻ tấn công thực hiện mục tiêu của chúng. Đây dường như là phần mềm độc hại mới nhất mà chúng tôi thấy đến từ nhóm APT này”.

“Dựa trên các cuộc tấn công trước đây do BlueNorOff thực hiện, chúng tôi nghi ngờ rằng phần mềm độc hại này là giai đoạn cuối trong phần mềm độc hại nhiều giai đoạn được phân bổ thông qua tấn công phi kỹ thuật (social engineering).”

Năm ngoái, Kaspersky đã liên kết các hacker BlueNorOff với một chuỗi các cuộc tấn công liên tục nhắm vào các công ty khởi nghiệp tiền điện tử trên toàn thế giới, bao gồm ở Mỹ, Nga, Trung Quốc, Ấn Độ, Anh, Ukraine, Ba Lan, Cộng hòa Séc, UAE, Singapore, Estonia, Việt Nam, Malta, Đức và Hồng Kông.

Năm 2019, Bộ Tài chính Hoa Kỳ đã xử phạt BlueNorOff và hai nhóm hack khác của Triều Tiên (Lazarus Group và Andariel) vì chuyển tài sản tài chính bị đánh cắp cho chính phủ Triều Tiên.

Theo một báo cáo của Liên Hợp Quốc từ 4 năm trước, các tin tặc nhà nước Triều Tiên đã đánh cắp khoảng 2 tỷ USD trong ít nhất 35 cuộc tấn công mạng nhắm vào các ngân hàng và sàn giao dịch tiền điện tử trên hơn chục quốc gia.

FBI cũng quy kết vụ hack tiền điện tử lớn nhất từ trước đến nay, vụ hack cầu nối mạng Ronin của Axie Infinity, là do các hacker Lazarus và BlueNorOff thực hiện, những kẻ đã đánh cắp 173.600 Ethereum và 25,5 triệu USDC token trị giá hơn 617 triệu USD vào thời điểm đó.

Nguồn: bleepingcomputer.com