Dans son rapport sur KandyKorn , Kaspersky décrit le groupe comme « Lazarus », un terme général désignant les pirates informatiques nord-coréens. Jamf décrit ce groupe comme BlueNoroff, un groupe spécifique au sein de Lazarus qui est « motivé financièrement, ciblant fréquemment les échanges de crypto-monnaie, les sociétés de capital-risque et les banques ».
Le nouveau malware est suivi par Jamf sous le nom d'ObjCShellz et ferait partie de ce que l'on appelle la campagne RustBucket . Les chercheurs soupçonnent qu’il s’agit d’un stade avancé d’une attaque de malware en plusieurs étapes. « Il s'agit d'un shell distant plutôt simpliste », explique Jaron Bradley, directeur de Jamf Threat Labs, « mais efficace ». Il permet à l'attaquant de délivrer des instructions macOS depuis un serveur C2 et de collecter les réponses. Le malware peut faire presque tout ce que l’utilisateur peut faire sur Mac, mais en arrière-plan.
Jamf n'a pas été en mesure d'explorer les intentions spécifiques des attaquants avec ce malware, car le serveur C2 (situé sur « swissborg[.]blog ») a été mis hors ligne dès que les chercheurs ont demandé plus d'informations. Ce n’est pas inhabituel : les attaquants bloquent souvent une adresse IP pour empêcher une enquête, pour finalement la rendre accessible à une date ultérieure.
Cependant, une autre raison possible pour mettre le serveur hors ligne est que le malware a déjà réussi sa tâche. "Une fois l'attaque terminée", a commenté Bradley, "ils mettent le serveur hors ligne pour empêcher les chercheurs d'avoir un aperçu supplémentaire de ce qui se passe réellement."
L'adresse du serveur C2 est codée en dur dans le malware. Le logiciel malveillant pourrait être réutilisé dans le cadre d’une autre attaque de spear phishing en remplaçant simplement le lien C2 par un autre nom de domaine similaire.
Une fonctionnalité légèrement inhabituelle est évidente dans ce malware : il enregistre les réponses du serveur victime aux commandes du malware – à la fois les réussites et les échecs. "Le choix d'enregistrer ces activités est intrigant, car les attaquants qui créent des logiciels malveillants sophistiqués omettent généralement toute déclaration susceptible de laisser des traces", écrivent les chercheurs dans leur rapport . En termes simples, le malware lui-même comporte des éléments peu sophistiqués, tandis que les attaquants présumés sont considérés comme un groupe NK APT sophistiqué.
Malgré cela, Jamf est convaincu que le malware appartient à BlueNoroff. Le serveur C2 codé en dur a longtemps été associé à ce groupe. L’URL du malware qui correspond à cette adresse IP, enregistrée le 31 mai 2023, est en fait une faute de frappe sur l’échange légitime de crypto-monnaie swissborg[.]com.
Bien que Jamf ne puisse pas découvrir les moyens d’infection, le typosquatting suggère une campagne de phishing ciblant cette crypto-monnaie particulière. Cela serait typique de la campagne BlueNoroff RustBucket – et le fait que l’adresse IP associée ait un historique avec BlueNoroff confirme presque les soupçons.
La nature quelque peu simpliste du malware reste une énigme – suffisante pour que Jamf le souligne dans son rapport. Jamf ne spécule pas, mais les cas relativement rares connus de logiciels malveillants dans la nature, associés à la vitesse à laquelle le serveur C2 a été mis hors ligne lors de son enquête par Jamf, ouvrent la possibilité qu'il s'agisse d'un logiciel malveillant encore en cours de développement et de test, conçu pour être utilisé. dans le cadre d'une future campagne de phishing dans les services financiers.
Qu’il s’agisse ou non d’un nouveau malware développé pour une nouvelle campagne, cela démontre la détermination du groupe Lazarus/BlueNoroff APT. "C'est un acteur très compétent", a commenté Bradley, "et il ne ralentit pas. Ils continuent de diffuser des logiciels malveillants qui n'ont jamais été détectés auparavant, ce qui indique que leur arsenal de logiciels malveillants est probablement bien plus répandu que ce que nous avons déjà vu.
Il convient de noter que même si le serveur C2 est hors ligne au moment de la rédaction, ce malware ne doit pas être ignoré. Des infections inconnues pourraient devenir actives si le serveur C2 est remis en ligne. À tout le moins, la communication avec l'adresse IP 104.168.214[.]151 doit être bloquée – d'autant plus que cette adresse a été utilisée avec d'autres logiciels malveillants BlueNoroff.